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软件 质量 具有 功能 性 、 可 靠 性 、 易 用 性 、 效 率 性 、 维 护 性 和 可 移植 性 6 个 特性 ,可 从 软件 
的 内 部 质量 .外 部 质量 和 使 用 质量 三 个 视角 去 考量 。 软 件 质量 保证 就 是 要 求 把 质量 嵌入 到 
软件 开发 的 生命 周期 全 过 程 中 ,以 保证 软件 的 “生产 ”质量 ; 软件 测试 是 软件 质量 保证 的 一 
个 关键 手段 ,又 是 软件 产品 发 布 前 的 最 终 检验 ; 对 软件 产品 质量 的 评价 是 以 量化 的 方式 来 
说 明 软 件 质量 的 程度 的 。 因 此 ,软件 质量 保证 ,测试 与 评价 三 方面 的 内 容 是 一 个 相互 关联 的 
体系 。 鉴 于 此 ,在 上 海 实施 了 “软件 质量 专业 技术 职业 资格 ”的 培训 与 资格 考试 专家 组 的 工 
作 基 础 上 ,由 于 杨 根 兴 教 授 长 期 从 事 软 件 质 量 保证 、 测 试 与 评价 研究 和 实践 工作 ,因此 ,以 他 
为 主编 写 此 书 确 可 担当 。 该 书 主要 特点 如 下 。 


1. 创新 与 继承 相 结 合 


软件 质量 随 着 软件 工程 学 科 的 不 断 发 展 而 推陈出新 ,该 书 内 容 既 论述 了 行 之 有 效 的 质 
量 保证 方法 和 技术 ,也 在 实践 经 验 基础 上 总 结 出 了 一 些 重 要 内 容 , 如 风险 管理 .软件 缺陷 管 
理 , 测 试用 例 的 复 用 和 面向 应 用 的 测试 等 。 


2. 规范 与 整体 相 结 合 

通过 对 GB/T 16260、8566、17544 .CMU/SEI CMMI 等 国家 和 国际 标准 的 学 习 和 研究 , 
运用 了 这 些 标准 中 相关 概念 和 过 程 的 规范 描述 。 既 具有 标准 的 依从 性 ,又 有 从 软件 质量 保 
证 和 软件 测试 两 个 方面 较为 深入 和 详细 的 阐述 ,形成 了 一 个 较为 完整 的 体系 。 


3. 技术 与 管理 相 结 合 

软件 质量 保证 的 实践 活动 大 多 需要 在 软件 企业 中 进行 ,虽然 技术 十 分 重要 ,而 管理 也 非 
常 重要 。 该 书 内 容 既 论述 技术 和 方法 ,也 阐述 了 软件 测试 管理 的 内 容 和 方法 。 在 软件 质量 
保证 中 ,管理 同样 会 出 效益 ,也 会 出 质量 。 


4. 理论 与 实践 相 结合 
任何 理论 的 存在 , 必 有 其 实践 背景 。 软 件 质量 从 重要 性 来 讲 , 实 践 经 验 是 第 一 位 的 。 该 


I 计算 机 网 络 安 全 一 一 协议 .技术 与 应 用 


书 从 不 同 的 侧面 反映 了 我 
兼顾 和 融合 。 


国 在 软件 质量 方面 的 研究 成 果 和 实践 经 验 ,使 之 理论 和 实践 均 能 


以 我 毕生 研究 软件 质量 的 经 验 , 软 件 质量 的 保证 、 测 试 与 评价 是 一 大 难题 ,特别 是 要 提 
出 一 套 符合 中 国文 化 理念 的 方法 有 待 时 日 , 尚 需 不 断 努 力 。 因 此 ,我 们 必须 培养 更 多 的 软件 


质量 保证 和 软件 测试 人 才 


,共同 努力 ,为 中 国 软件 产业 的 发 展 作出 积极 的 贡献 。 


该 书 的 出 版 ,将 会 有 益 于 读者 掌握 一 门 重要 的 技艺 ,有 益 于 推动 软件 质量 保证 与 测试 的 
研究 教学、 实践 的 进一步 发 展 . 有 益 于 助 推 我 国 软件 产业 的 发 展 。 


朱 三 元 
2007 年 9 月 于 上 海 
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前 言 


本 书 为 全 国 工程 硕士 研究 生 教育 核心 教材 ,同时 得 到 “北京 市 精品 教材 ”项 目的 资助 。 
本 书 由 北京 航空 航天 大 学 的 黄河 博士 编著 , 李 伟 琴 教授 审核 。 

网 络 安全 既 有 丰富 的 理论 基础 ,又 是 实践 性 较 强 的 一 门 学 科 。 本 书 主要 讲述 网 络 环境 
下 的 信息 安全 技术 ,对 于 传统 信息 安全 中 的 密码 算法 和 密码 协议 等 理论 内 容 只 做 了 简要 介 
绍 ,着 重 描述 了 计算 机 网 络 安全 的 理论 和 实践 知识 ,对 于 密码 学 的 应 用 则 贯穿 在 网 络 安全 协 
议和 技术 中 进行 描述 。 为 了 使 内 容 的 组 织 具 有 系统 性 并 便于 读者 理解 ,将 教材 内 容 划 分 为 
网 络 安全 协议 .技术 和 应 用 等 不 同 层次 进行 论述 。 其 中 ,网 络 安全 协议 部 分 是 教材 的 核心 内 
容 ,力争 系统 .全面 地 讲解 TCP/IP 网 络 安全 协议 ,协议 部 分 尽量 结合 其 应 用 背景 .实例 和 方 
法 等 加 以 论述 ; 网 络 安全 技术 重点 讲述 防火 墙 、. 虚 拟 专用 网 .访问 控制 .人 侵 检测 和 系统 审 
计 等 网 络 安全 防御 技术 ,同时 也 介绍 了 网 络 安全 方面 新 的 研究 方向 和 技术 。 

教材 中 每 章 的 实验 部 分 列 出 了 编者 认为 与 教材 内 容 配套 的 实验 名 称 ,其 具体 实验 内 容 
和 方法 读者 可 以 根据 需要 自己 选取 。 

教材 的 编写 过 程 中 得 到 诸多 老师 .同事 及 同学 的 帮助 。 北 京 航空 航天 大 学 的 李 伟 琴 教 
授 对 全 书 进行 了 审核 并 提出 了 许多 宝贵 的 修改 意见 。 北 京 航空 航天 大 学 软件 学 院 的 研究 生 
周 由 胜 、 张 几 、 马 心意 和 王 集 竹 ,北京 交通 大 学 的 研究 生 顾 成 杰 , 中 国电 力 国际 发 展 有 限 公 司 
的 陆路 ,路 透 中 国 科技 有 限 公司 的 郑 久 丹 , 中 国 移动 研究 院 的 张 狗 等 同志 也 参与 了 本 书 的 编 
写 ,在 此 表示 诚挚 的 谢意 。 

由 于 作者 水 平 所 限 , 书 中 难免 存在 一 些 下 漏 和 错误 , 敬 请 广大 读者 批评 指正 。 


编 者 
2008 年 5 月 
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村 下 讲 


网 络 安全 概述 


1.1 网 络 安全 的 概念 及 目标 


网 络 安 全 是 指 对 网 络 系统 的 硬件 .软件 及 其 中 的 数据 实施 保护 ,使 网 络 信息 不 因 偶然 或 
恶意 攻击 而 遭 到 破坏 ,更改 或 泄露 ,并且 保 证 网 络 系统 连续 .可 靠 . 正 常 地 运行 ,保证 网 络 服 
务 不 中 断 。 

网 络 安全 是 一 门 涉及 计算 机 科学 、 网 络 技术 .通信 技术 、 密 码 技术 .信息 安全 技术 .应 用 
数学 .数论 和 信息 论 等 多 种 学 科 的 综合 性 学 科 。 

如 图 1. 1 所 示 ,网络 信息 安全 包括 以 下 三 个 目标 。 

。 机 密 性 (confidentiality): 指 计算 机 系统 的 资源 

应 该 仅 能 由 授权 实体 读 取 。 

”完整 性 Cintegrity): 指 资源 只 能 由 授权 实体 
修改 。 
可 用 性 (availability) : 指 一 旦 用 户 得 到 访问 某 一 
资源 的 权限 ,该 资源 就 应 该 能 够 随时 为 其 使 用 。 

国际 电信 联盟 (international telecommunication 
union,ITU) 将 网 络 安全 定义 为 攻击 、 安 全 机 制 和 安全 服 
务 三 个 部 分 。 

其 中 ,攻击 (attack) 是 指 损害 机 构 所 拥有 信息 的 安全 的 行为 ; 安全 机 制 (security 
mechanism) 是 指 设计 用 于 检测 、 预 防 安全 攻击 或 者 恢复 系统 的 方法 ; 安全 服务 (security 
service) 是 指 采用 一 种 或 多 种 安全 机 制 以 抵御 安全 攻击 、 提 高 机 构 的 数据 处 理 系统 安全 和 信 
息 传 输 安全 的 能 力 。 安 全 机 制 和 安全 服务 将 在 1. 3 节 详 述 , 下 面 简单 分 析 针 对 网 络 和 信息 
的 攻击 。 

从 攻击 的 动机 和 危害 性 上 看 ,可 以 将 网 络 攻击 分 为 被 动 攻击 和 主动 攻击 两 类 。 其 中 ,被 


机 密 性 


confidentiality 


完整 性 
integrity 


可 用 性 
availability 


图 1.1 网 络 信息 安全 目标 
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动 攻击 是 指 进行 网 络 窃听 ,截取 数据 包 并 进行 分 析 , 从 中 窃取 敏感 信息 。 被 动 攻击 不 会 导致 
对 系统 中 所 含 信息 的 任何 改动 ,而且 系 统 的 操作 和 状态 也 不 被 改变 ,因此 被 动 攻击 主要 威胁 
信息 的 机 密 性 ,被 动 攻击 不 易 被 检测 。 主 动 攻击 是 指 意 在 自 改 系统 中 所 含 信息 或 者 改变 系 
统 的 状态 及 操作 ,例如 冒充 、 自 改 、 抵 赖 、 非 授权 访问 、 非 法 登录 ,信息 或 网 络 服 务 破坏 等 , 主 
动 攻 击 可 以 被 网 络 系 统 检测 到 。 

从 信息 流 的 角度 上 看 ,网 络 中 的 数据 受到 四 个 方面 的 威胁 ,包括 中 断 威胁 、 侦 听 威 胁 、 修 
改 威胁 和 伪造 威胁 。 设 信息 是 从 源 地 址 流向 目的 地 址 ,那么 正常 的 信息 流向 如 图 1.2 所 示 。 

(1) 中 断 威胁 : 如 图 1. 3 所 示 ,中 断 威胁 使 得 信息 在 传输 过 程 中 被 阻 断 ,无 法 正确 到 达 
目的 地 ,导致 正在 使 用 的 信息 系统 毁坏 或 不 能 正常 使 用 ,破坏 系统 的 可 用 性 。 中 断 威胁 的 攻 
击 手段 包括 切断 网 络 通信 线路 ,损坏 网 络 服务 和 使 文件 系统 瘫痪 等 。 
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信息 源 信息 目的 地 信息 源 信息 目的 地 
图 1.2 正常 信息 流 图 1.3 受 中 断 威胁 的 信息 流 


(2) 侦 听 威胁 : 如 图 1.4 所 示 , 在 侦 听 威胁 中 ,一 个 非 授 权 方 进入 系统 并 获取 资源 ,破坏 
系统 的 机 密 性 。 非 授权 方 可 以 是 一 个 人 ,一 个 程序 或 一 台 主 机 。 侦 听 威 胁 的 攻击 手段 包括 
搭 线 窃听 ,文件 或 程序 的 不 正当 复制 等 。 

(3) 修改 威胁 : 如 图 1. 5 所 示 , 在 修改 威胁 中 ,一 个 非 授 权 方 不 仅 介入 系统 而 且 对 系统 
中 的 信息 进行 了 修改 ,破坏 系统 的 完整 性 。 修 改 威胁 包括 改变 数据 文件 改变 程序 使 之 不 能 
正确 执行 、 修 改 报 文 内 容 等 。 


信息 源 @ :gw 信息 源 3 信息 目的 地 
图 1.4 受 俩 听 威 胁 的 信息 流 图 1.5 受 修改 威胁 的 信息 流 


(4) 伪造 威胁 : 如 图 1. 6 所 示 , 在 伪造 威胁 中 ,一 个 非 授 权 方 将 伪造 的 客体 插入 到 系统 
中 ,破坏 信息 的 真实 性 。 伪 造 威胁 包括 在 网 络 中 插入 虚假 信息 ,或 者 在 文件 中 追加 记录 等 。 


®@ > 
信息 源 信息 目的 地 


图 1.6 受 伪造 威胁 的 信息 流 


对 应 以 上 安全 威胁 ,针对 网 络 系统 的 攻击 有 多 种 ,例如 : 
。 冒充 攻击 。 指 一 个 实体 伪装 成 另 一 个 实体 ,使 网 络 中 的 信息 遭受 修改 威胁 和 伪造 威 
胁 。 例 如 ,攻击 者 可 以 通过 密码 嗅 探 和 猜测 等 方式 获取 合法 用 户 的 密码 ,然后 冒充 
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该 用 户 并 利用 该 用 户 的 权限 对 系统 实施 攻击 。 
。 重 放 攻 击 。 指 获取 网 络 系统 中 的 有 效 数 据 段 ,并 以 重播 的 方式 对 网 络 实施 攻击 ,使 
网 络 中 的 信息 遭受 伪造 攻击 。 例 如 ,攻击 者 可 以 使 用 某 种 工具 截获 网 络 中 的 数据 
包 , 然 后 将 该 数据 包 重 新 发 往 目 标 地 址 。 
修改 攻击 。 指 攻击 者 对 网 络 中 的 数据 包 进 行 修改 、 延 时 和 重 排 等 ,使 网 络 中 的 信息 
遭受 修改 威胁 。 
拒绝 服务 攻击 。 指 破坏 网 络 设 备 或 服务 的 正常 运行 ,导致 其 无 法 提供 正常 服务 ,使 
网 络 中 的 信息 遭受 中 断 威胁 。 例 如 ,攻击 者 可 以 发 送 大 量 垃圾 信息 使 网 络 过 载 , 导 
致 网络 和 应 用 系统 性 能 严重 下 降 ,破坏 网 络 系统 及 其 服务 的 可 用 性 。 


1.2 网 络 安全 现状 


计算 机 网 络 ,特别 是 Internet 的 兴起 和 应 用 给 人 们 的 生活 和 工作 带 来 了 重大 变化 , 随 着 
计算 机 网 络 的 普及 ,网 络 的 应 用 向 深度 和 广度 不 断 发 展 。 在 网 络 给 人 们 带 来 便利 的 同时 ,也 
带 来 了 一 些 不 容 忽 视 的 问题 ,网 络 信息 的 安全 保密 问题 就 是 其 中 之 一 。 随 着 时 间 的 发 展 ,各 
种 网 络 安全 问题 也 日 益 突出 ,图 1.7 给 出 了 不 同时 间 的 已 知 威胁 类 型 和 数量 。 


数 
量 


混合 型 威胁 


拒绝 服务 攻击 


垃圾 邮件 


特洛伊 木马 
网 络 入 侵 


时 间 


图 1.7 威胁 种 类 及 数量 


计算 机 网 络 面临 的 威胁 大 体 可 分 为 两 类 : 一 是 对 网 络 中 信息 的 威胁 ,二 是 对 网 络 中 设 
备 的 威胁 。 威 胁 计 算 机 网 络 及 其 应 用 系统 安全 性 的 因素 很 多 ,有 些 因 素 可 能 是 有 意 的 ,也 可 
能 是 无 意 的 ; 可 能 是 人 为 的 ,也 可 能 是 自然 的 。 归 结 起 来 ,目前 针对 网 络 安 全 的 威胁 主要 有 
如 下 三 种 。 

@ 人 为 的 无 意 失误 。 例如 因 操 作 员 安全 配置 不 当 造 成 的 安全 漏洞 ,用 户 安全 意识 不 
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强 , 用 户 密 码 选择 不 慎 , 用 户 将 自己 的 账号 随意 转借 他 人 或 与 别人 共享 等 都 会 对 网 络 安全 带 
来 威胁 。 

@ 人 为 的 恶意 攻击 。 这 是 计算 机 网 络 所 面临 的 最 大 威胁 ,敌手 的 攻击 和 计算 机 犯罪 就 
属于 这 一 类 。 此 类 攻击 又 可 以 分 为 主动 攻击 和 被 动 攻击 两 类 ,这 两 种 攻击 均 可 对 计算 机 网 
络 造成 极 大 的 危害 ,并 导致 机 密 数 据 的 泄露 。 

@ 网 络 软件 的 漏洞 和 * 后 门 ”"(back door) 。 网 络 软件 不 可 能 是 百分之百 的 无 缺陷 和 无 
漏洞 的 ,然而 ,这 些 漏洞 和 缺陷 恰恰 是 黑客 进行 攻击 的 首选 目标 ,曾经 出 现 过 的 黑客 攻 入 网 
络 内 部 的 事件 大 部 分 是 因为 安全 措施 不 完善 所 招致 的 。 另 外 ,软件 的 “后 门 ?一 般 是 网 络 及 
有 一 般 不 为 外 人 所 知 , 但 一 旦 
“后 门 ” 被 攻击 者 发 现 ,其 后 果 将 不 堪 设 想 。 另 一 类 "后 门 ? 是 攻击 者 在 进入 系统 后 刻意 留 下 
井 , 江 拓 自 后 二 站 拓 直 风 训 交 科 反 从 和 和 

Internet 的 普及 和 应 用 使 得 这 种 基于 网 络 漏洞 的 攻击 变 得 非常 频繁 ,造成 的 损失 巨大 。 
Internet 起 源 于 1969 年 的 ARPANet, 最 初 用 于 军事 目的 ,1993 年 开始 用 于 商业 应 用 ,进入 
快速 发 展 阶段 。 到 目前 为 止 ,Internet 已 经 覆盖 了 世界 上 大 多 数 国家 和 地 区 的 数 千 万 台 计 
算 机 ,用 户 数量 庞大 。 这 个 全 球 范 围 的 IP 网 络 , 连 接着 不 同 的 网 络 资源 .政府 资源 .教育 资 
源 以 及 商贸 资源 。Internet 上 各 种 应 用 及 其 的 复杂 程度 日 益 增 加 。 

Internet 的 开放 性 、 异 构 性 ,多 数 应 用 是 客户 机 /服务 器 模式 、 网 络 允许 部 分 匿名 用 户 等 
的 设计 方式 和 特点 ,使 得 Internet 上 的 漏洞 很 快 可 以 被 发 现 并 迅速 传播 ,针对 各 种 网 络 漏洞 
的 攻击 手段 和 攻击 工具 同样 也 是 开放 的 。 普 通用 户 可 以 得 到 各 种 攻击 工具 ,对 攻击 行为 感 
兴趣 ,或 喜欢 尝试 和 冒险 ,以 及 从 攻击 行为 中 牟利、 以 攻击 为 职业 的 人 随时 可 以 利用 这 些 开 
放 的 工具 对 网 络 进行 攻击 ,窃取 机 密 信 息 、 对 网 络 资源 进行 破坏 和 更 改 等 。Internet 漏洞 的 
客观 存在 以 及 其 特性 和 设计 原则 使 得 基于 Internet 的 攻击 难以 防范 。 

1988 年 11 月 3 日 ,第 一 个 “蠕虫 ”病毒 被 放 到 Internet 上 , 数 小 时 之 内 , 数 千 台 机 器 被 
传染 ,Internet 几乎 陷入 瘫 疯 。“ 蠕 虫 ” 的 作者 Robert Morris J.r 被 判 有 罪 ,接受 三 年 监护 并 
被 罚款 。“Morris 蠕虫 ”的 出 现 改变 了 许多 人 对 Internet 安全 性 的 看 法 。 一 个 单纯 的 程序 
有 效 地 摧毁 了 数 千 台 机 器 , 那 一 天 同时 标志 着 Internet 安全 性 研究 的 开始 。 

图 1.8 给 出 了 一 个 利用 Web 服务 进行 攻击 的 例子 。Internet 上 的 安全 漏洞 包括 操作 
系统 的 .网络 的 和 应 用 的 ,这 些 漏洞 都 可 能 被 攻击 者 利用 进行 攻击 或 作为 攻击 其 他 机 器 的 手 
段 。 例 如 木马 程序 可 以 人 为 安放 在 恶意 的 代码 中 ,然后 嵌入 在 Web 数据 服务 器 的 网 页 中 ， 
从 而 对 网 络 上 的 主机 实施 攻击 。 

图 1.9 中 是 TCP 会 话 劫持 的 示意 图 。 一 个 客户 程序 通过 TCP 正在 与 一 台 服 务 器 进行 
通信 。 攻 击 者 可 以 使 用 ARP(address resolution protocol) 来 截获 和 重 定向 客户 与 服务 器 之 
间 的 数据 流 ,使 之 经 过 攻击 者 的 机 器 。 然 后 攻击 者 假冒 客户 机 身份 向 服务 器 启动 连接 请 求 , 
使 用 的 序列 号 为 Attack_SEQ。 服 务 器 向 真正 的 客户 端 发 送 应 答 ,应 答 序列 号 为 Attack_ 
SEQ 十 1, 自 身 序列 为 New_SVR_SEQ。 由 于 真实 客户 端 接收 到 的 应 答 序 列 号 不 符 , 应 答 包 
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图 1.8 Internet 服务 中 存在 的 安全 漏洞 


被 客户 端 忽 略 。 攻 击 者 再 次 假冒 客户 端 进行 应 答 ,应 答 序列 号 为 New_SVR_SEQ 二 1。 结 
果 ,服务 器 也 处 于 连接 建立 状态 。 但 是 由 于 客户 和 服务 器 之 间 的 序列 号 不 一 致 , 它 们 之 间 并 
不 能 真正 地 进行 通信 ,各 自发 往 对 方 的 数据 包 都 将 被 忽略 ,TCP 会 话 被 攻击 者 劫持 。 


攻击 者 现在 可 以 截获 所 有 通信 
骨 客户 和 服务 器 之 间 的 通信 被 重 定向 


图 1.9 TCP 会 话 支持 


内 部 网 络 同样 面临 安全 威胁 ,内 部 人 员 对 网 络 或 系统 的 威胁 可 归 为 两 类 ,一 是 利用 网 络 
实施 危害 系统 安全 性 的 各 种 行为 ,如 未 授权 访问 、 密 码 嗅 探 和 盗 取 、IP 地 址 欺骗 等 ; 二 是 对 


网 络 中 的 各 种 资源 ,特别 是 涉 密 的 文档 进行 非法 打印 ,复制 .转移 等 。1 


于 内 部 人 员 一 般 是 


拥有 一 定 权限 的 合法 用 户 ,他们 本 身 具备 访问 网 络 的 权限 ,因此 这 种 基于 内 部 网 络 的 攻击 更 
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加 难以 防范 ,需要 进行 严格 的 访问 控制 .内 部 资源 的 分 级 和 控制 等 来 提高 内 部 网 络 的 安 
全 性 。 


1.3 ”ISO/OSI 网 络 安全 体系 


ISO/OSI 参考 模型 主要 从 安全 策略 .安全 服务 .安全 机 制 和 安全 管理 等 方面 描述 网 络 
安全 体系 结构 。 


1.3.1 安全 策略 


安全 策略 指 在 一 定 的 环境 内 ,为 保证 网 络 提供 一 定 级 别 的 安全 保护 能 力 所 提 出 的 系统 
应 该 遵守 的 一 系列 规则 。 可 以 将 网 络 安全 策略 分 为 物理 安全 策略 .访问 控制 策略 .信息 加 密 
策略 以 及 网 络 安全 管理 策略 等 。 


1. 物理 安全 策略 


物理 安全 策略 的 目的 是 保护 计算 机 系统 .网 络 服务 器 .打印 机 等 硬件 实体 和 通信 链 路 免 
受 自然 灾害 、 人 为 破坏 和 搭 线 攻击 ; 验证 用 户 的 身份 和 使 用 权限 、 防 止 用 户 越权 操作 ; 确保 
计算 机 系统 有 一 个 良好 的 电磁 兼容 工作 环境 ; 建立 完备 的 安全 管理 制度 ,防止 非法 进入 计 
算 机 控制 室 和 各 种 偷窃 、 破 坏 活动 的 发 生 。 

抑制 和 防止 电磁 泄漏 是 物理 安全 策略 的 一 个 重要 问题 。 目 前 主要 防护 措施 有 两 类 : 一 
类 是 对 传导 发 射 的 防护 ,主要 采取 对 电源 线 和 信号 线 加 装 性 能 良好 的 滤波 器 , 减 小 传输 阻抗 
和 导线 间 的 交叉 耦合 等 方法 。 另 一 类 是 对 辐射 的 防护 ,这 类 防护 措施 又 可 分 为 采用 各 种 电 
磁 屏 项 和 干扰 等 。 


2. 访问 控制 策略 


访问 控制 是 网 络 安全 防范 和 保护 的 重要 策略 , 它 的 主要 任务 是 保证 网 络 资源 不 被 非法 
使 用 和 非法 访问 。 它 也 是 维护 网 络 系统 安全 、 保 护 网络 资源 的 重要 手段 ,可 以 说 是 保证 网 络 
安全 最 重要 的 核心 策略 之 一 。 下 面 举例 说 明 几 种 访问 控制 策略 。 
。 入 网 访问 控制 。 入 网 访问 控制 为 网 络 访问 提供 第 一 层 控制 。 它 控制 哪些 用 户 能 够 
登录 到 服务 器 并 获取 网 络 资源 ,控制 允许 用 户 入 网 的 时 间 和 人 允许 他 们 在 哪些 工作 站 
和 网。 用 户 的 入 网 访问 控制 的 实施 可 分 为 三 个 步 又: 用户 名 的 识别 与 验证 ,用户 密 
码 的 识别 与 验证 .用户 账号 的 默认 限制 检查 。 
。 网 络 的 权限 控制 。 网 络 的 权限 控制 是 针对 网 络 非法 操作 所 提出 的 一 种 安全 保护 措 
施 。 网 络 管理 员 应 当 为 用 户 指定 适当 的 访问 权限 ,这 些 访问 权限 控制 着 用 户 对 服务 
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器 的 访问 。 用 户 和 用 户 组 被 赋予 一 定 的 权限 ,规定 他 们 可 以 访问 哪些 目录 、 子 目录 、 
文件 和 其 他 资源 。 可 以 指定 用 户 对 这 些 文件 .目录 和 设备 能 够 执行 哪些 操作 。 

。 目录 级 安全 控制 。 网 络 应 允许 控制 用 户 对 目录 文件 和 设备 的 访问 。 用 户 在 目录 一 
级 指定 的 权限 对 所 有 文件 和 子 目录 有 效 ,用 户 还 可 进一步 指定 对 目录 下 的 子 目 录 和 
文件 的 权限 。 

。 属性 安全 控制 。 当 使 用 文件 .目录 和 网 络 设备 时 ,网 络 系统 管理 员 应 给 文件 .目录 等 
指定 访问 属性 。 属 性 安全 控制 可 以 将 给 定 的 属性 与 网 络 服务 器 的 文件 .目录 和 网 络 
设备 联系 起 来 。 属 性 安全 在 权限 安全 的 基础 上 提供 更 进一步 的 安全 性 。 网 络 上 的 
资源 都 应 预先 标 出 一 组 安全 属性 。 用 户 对 网 络 资源 的 访问 权限 对 应 一 张 访问 控制 
表 , 用 以 表明 用 户 对 网 络 资源 的 访问 能 力 。 

。 网 络 服务 器 安全 控制 。 网 络 允许 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 使 用 控 
制 台 可 以 装载 和 钊 载 模块 ,可 以 安装 和 删除 软件 等 。 网 络 服务 器 的 安全 控制 包括 设 
置 密码 锁定 服务 器 控制 台 , 以 防止 非法 用 户 修改 ,删除 重要 信息 或 破坏 数据 ; 还 可 
以 设 定 服务 器 登录 时 间 限 制 .非法 访问 者 检测 和 关闭 的 时 间 间 隔 等 。 

。 网络 监测 和 锁定 控制 。 网 络 管理 员 应 对 网 络 实施 监控 ,服务 器 应 记录 用 户 对 网 络 
资源 的 访问 ,对 非法 的 网 络 访问 ,服务 器 应 以 图 形 或 文字 或 声音 等 形式 报警 ,以 引 
起 网 络 管理 员 的 注意 。 如 果 未 授权 人 员 试 图 进入 网 络 , 网 络 服 务 器 应 自动 记录 企 
图 其 尝试 进入 网 络 的 次 数 , 如 果 非 法 访问 的 次 数 达 到 设 定数 值 ,那么 该 账户 将 被 
自动 锁定 。 

。 网 络 端口 和 节点 的 安全 控制 。 网 络 中 服务 器 的 端口 往往 使 用 自动 回 呼 设备 静默 调 
制 解 调 器 加 以 保护 ,并 以 加 密 的 形式 来 识别 节点 的 身份 。 自 动 回 呼 设备 用 于 防止 假 
冒 合法 用 户 ,静默 调制 解 调 器 用 以 防范 黑客 的 自动 拨号 程序 对 计算 机 进行 攻击 。 还 
可 以 对 服务 器 端 和 用 户 端 采取 控制 ,例如 规定 用 户 必 须 携 带 证 实 身份 的 验证 器 (如 
智能 卡 、 磁 卡 和 安全 密码 发 生 器 ) 。 在 对 用 户 的 身份 进行 验证 之 后 , 才 允 许 用 户 进入 
系统 。 然 后 ,用 户 端 和 服务 器 端 再 进行 相互 认证 。 

。 防火 墙 控制 。 防 火 墙 在 网 络 边界 上 通过 建立 起 来 的 相应 网 络 通信 监控 系统 来 隔离 
内 部 和 外 部 网 络 ,以 阻止 来 自 外 部 网 络 的 入 侵 。 目 前 的 防火 墙 主要 有 以 下 三 种 类 
型 , 即 包括 过 滤 防 火 墙 代理 防火 墙 和 双 穴 主机 防火 墙 。 


3. 信息 加 密 策略 


信息 加 密 的 目的 是 保护 计算 机 网 络 的 数据 文件 .密码 和 控制 信息 ,保护 网 络 上 传输 的 
数据 。 网 络 加 密 常 用 的 方法 有 和 链 路 加 密 、 端 到 端 ( 端 点 ) 加 密 和 节点 加 密 等 。 链 路 加 密 的 目 
的 是 保护 网 络 节点 之 间 的 链 路 信息 安全 ; 端 到 端 加 密 的 目的 是 对 源 端 用 户 到 目的 端 用 户 的 
数据 提供 保护 ; 节点 加 密 的 目的 是 对 源 节点 到 目的 节点 之 间 的 传输 链 路 提供 保护 。 用 户 可 
根据 网 络 系统 的 安全 性 需求 选择 上 述 加 密 方式 。 信 息 加 密 过 程 由 加 密 算 法 来 实施 ,可 以 将 
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加 密 算法 分 为 常规 密码 算法 (对 称 密码 ) 和 公 钥 密码 算法 ( 非 对 称 密码 ) 。 

。 常规 密码 

收 信 方 和 发 信 方 使 用 相同 的 密 钥 , 即 加 密 密 钥 和 解密 密 钥 是 相同 或 等 价 的 。 其 优点 是 
有 很 强 的 保密 强度 ,但 其 密 钥 必须 通过 安全 的 途径 传送 。 因 此 , 密 钥 管 理 成 为 影响 系统 安全 
的 重要 因素 。 

。 公 和 钥 密 码 

收 信 方 和 发 信 方 使 用 不 同 的 密 钥 进行 加 密 和 解密 ,而 且 几 乎 不 可 能 从 加 密 密 钥 推导 出 
解密 密 钥 。 其 优点 是 可 以 适应 网 络 的 开放 性 要 求 , 且 密 钥 管理 问题 也 较为 简单 ,尤其 可 方便 
地 实现 数字 签名 和 身份 认证 。 但 其 算法 复杂 ,加 解密 数据 的 速率 较 低 。 尽 管 如 此 , 随 着 现代 
电子 技术 和 密码 技术 的 发 展 , 公 钥 密码 算法 和 数字 证 书 成 为 一 种 应 用 广泛 的 身份 认证 和 加 
密 技术 。 

在 实际 应 用 中 ,人 们 通常 将 常规 密码 和 公 钥 密码 结合 在 一 起 使 用 。 


4. 网 络 安全 管理 策略 


在 网 络 安全 中 ,除了 采用 上 述 技术 措施 之 外 ,加 强 网 络 的 安全 管理 ,制定 有 关 规 章 制度 ， 
对 于 确保 网 络 安全 .可靠 地 运行 ,将 起 到 十 分 有 效 的 作用 。 安 全 管理 策略 从 管理 角度 保障 网 
络 安全 性 ,包括 : 指定 信息 安全 政策 .进行 安全 风险 评估 安全 控制 目标 与 方式 选择 .制定 安 
全 规范 .进行 职工 安全 意识 培训 等 多 种 措施 和 方法 。BS7799(ISOVIEC 17799), 即 《信息 安 
全 管理 体系 标准 》 和 ISMS(information security management system) 针 对 安全 管理 进行 了 
详细 描述 。 


5. 安全 策略 的 实施 


安全 策略 是 设计 一 个 安全 的 网 络 和 应 用 系统 的 基础 ,网 络 和 应 用 系统 的 建设 应 该 
安全 策略 的 制定 和 实施 同时 进行 ,以 满足 系统 的 安全 性 需 


| 
深 


一 安全 策略 反馈 
求 。 如 图 1. 10 所 示 , 一 个 安全 的 网 络 和 应 用 系统 的 实施 
过 程 可 简单 描述 如 下 。 i 

首先 ,应 该 对 网 络 及 其 应 用 系统 进行 安全 需求 分 析 和 Ti 

现状 分 析 。 例 如 ,可 以 对 网 络 的 资产 .脆弱 性 及 安全 威胁 RT 
进行 分 析 , 进 行 网 络 安全 风险 分 析 , 得 出 网 络 面临 的 安全 
风险 。 在 风险 分 析 的 基础 上 ,结合 对 网 络 系统 进行 的 实际 ET 
安全 性 需求 ,制定 网 络 安全 策略 , 即 进行 安全 策略 的 设计 。 | | 网 络 安全 
在 策略 设计 的 基础 上 ,结合 各 种 技术 手段 和 安全 设施 , 进 出 网 络 应 用 
行 安全 策略 的 实施 。 最 后 ,对 安全 策略 的 实施 结果 进行 评 


价 和 反馈 ,根据 新 的 安全 需求 和 安全 风险 ,重新 制定 和 实 图 1.10 网 络 安全 策略 的 
施 策略 ,并 不 断 循环 。 设计 和 实施 过 程 
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1.3.2 安全 服务 


安全 服务 主要 涉及 如 下 内 容 。 

。 身份 认证 (或 鉴别 ,authentication) 。 确 认 用 户 .主机 及 数据 源 的 身份 。 

。 访问 控制 (access control) 。 防 止 未 经 授权 的 数据 存 取 行 为 ,以 身份 认证 为 基础 。 

数据 机 密 性 (data confidentiality) 。 防 止 信息 泄露 至 未 授权 实体 。 

数据 完整 性 (data integrity) 。 保 护 数 据 以 防止 其 内 容 遭 算 改 。 

。 不 可 否认 性 ( 抗 抵赖 性 ,non-repudiation)。 一 旦 事务 结束 ,有 关 各 方 都 不 能 否认 自己 
参与 过 该 事务 。 

。 可 用 性 (availability)。 系 统 具 有 向 其 合法 用 户 提供 资源 或 服务 的 能 力 。 

以 下 针对 上 述 内 容 有 具体 说 明 。 


1. 身份 认证 

身份 认证 包括 对 等 实体 认证 和 数据 源 认证 。 

如 图 1. 11 所 示 , 对 等 实体 认证 由 nn 层 协 议 提供 ,n 十 1 层 实体 可 确信 其 对 等 实体 是 其 所 
信赖 之 实体 。 对 等 实体 认证 应 该 保证 某 实体 没有 企图 冒充 别 的 实体 , 且 没 有 非法 重 放 以 前 
的 某 个 连接 。 

数据 源 认 证 在 通信 的 某 个 环节 ,确认 数据 是 由 


某 个 特定 发 送 者 发 送 的 。 它 对 数据 的 来 源 提供 认 人 
证 ,但 不 提供 防止 数据 单元 被 复制 或 自 改 的 安全 服 i 2 
务 。 数 据 源 认 证 包括 两 方 认证 (通信 双方 进行 单 向 i a 
或 双向 认证 ) 和 基于 第 三 方 的 认证 (通信 双方 利用 第 

三 方 进行 身份 鉴别 ) 两 种 方式 。 状 下 证 关 训 有 证 人 十 


2. 访问 控制 

访问 控制 采用 管理 或 技术 手段 保证 网 络 资源 不 被 未 授权 使 用 ,以 实现 访问 控制 策略 。 
访问 控制 中 主要 包括 三 个 实体 : 访问 方 , 即 主体 (subject); 被 访问 方 , 即 客体 (object) ,以 及 
访问 权限 (access right) 。 系 统 根据 主体 对 客体 的 访问 权限 决定 是 否 允 许 执行 该 访问 。 


3. 数据 机 密 性 

数据 机 密 性 包括 连接 机 密 性 、 无 连接 机 密 性 、 选 择 字段 保密 性 (向 指定 数据 单元 的 某 些 
字段 提供 机 密 性 服务 ) 以 及 业务 流 保密 性 (防止 通过 分 析 业 务 流 得 到 机 密 信息 )。 其 所 涉及 
的 加 密 技术 有 对 称 密 钥 算法 、 非 对 称 密 钥 算 法 或 公 钥 算法 、 哈 希 函数 (hash function) 和 数字 
签名 等 。 
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4. 不 可 否认 性 

不 可 否认 性 涉及 如 下 两 个 方面 : 

数据 源 的 抗 抵赖 性 ,是 指向 数据 接收 者 提供 数据 来 源 的 证 据 , 以 防止 发 送 者 否认 曾 发 送 
该 数据 及 其 内 容 。 

传递 过 程 的 抗 抵赖 性 是 指向 数据 发 送 者 提供 数据 已 到 达 目 的 地 的 证 据 , 以 防止 信息 接 
收 者 否认 曾 接 收 该 数据 及 其 内 容 。 


5. 数据 完整 性 

数据 完整 性 是 数据 本 身 的 真实 性 证 明 。 数 据 完整 性 服务 对 传输 中 的 数据 流 进行 验证 ， 
保证 发 送信 息 和 接受 信息 的 一 致 性 。 在 使 用 密码 技术 进行 验证 时 ,一 般 使 用 非 线 性 单 向 函 
数 求 出 鉴别 码 , 即 MAC(message _ authentication code)。 使 用 单 向 散 列 函数 ( 哈 希 函数 ) 进 
行 验证 时 ,将 输出 的 定 长 字符 串 作 为 对 数据 完整 性 的 鉴别 码 。 


1.3.3 ”安全 机 制 


安全 机 制 主要 包括 : 加 密 机 制 .数字 签名 机 制 .访问 控 制 机 制 ,数据 完 整 性 机 制 、. 交 换 鉴 
别 机 制 ,业务 流量 填充 机 制 . 路 由 控制 机 制 以 及 公证 机 制 。 以 下 分 别 说 明 。 


1. 加 密 机 制 


加 密 是 提供 数据 机 密 性 服务 最 常用 的 方法 。 如 前 所 述 , 按 密 钥 类 型 划分 ,加 密 算 法 可 分 
为 对 称 密 钥 和 非 对 称 密 钥 加 密 算法 两 种 ; 按 密码 体制 分 ,可 分 为 序列 密码 和 分 组 密码 算法 
两 种 。 用 加 密 的 方法 与 其 他 技术 相 结 合 ,可 以 提供 数据 的 机 密 性 和 完整 性 服务 。 


2. 数字 签名 机 制 


数字 签名 机 制 可 以 解决 通信 双方 发 生 争执 时 可 能 产生 的 如 下 安全 问题 。 
。 否认 : 发 送 者 事后 不 承认 自己 发 送 过 某 份 文件 。 

。 伪造 : 接收 者 伪造 一 份 文件 ,声称 它 发 自发 送 者 。 

。 假冒 : 网 络 上 的 某 个 用 户 冒 充 另 一 个 用 户 接收 或 发 送信 息 。 

。 自 改 : 接收 者 对 收 到 的 信息 进行 部 分 算 改 。 


3. 访问 控制 


访问 控制 是 按 事先 确定 的 规则 决定 主体 对 客体 的 访问 是 否 合法 的 安全 机 制 。 当 一 个 主体 
试图 非法 访问 一 个 未 经 授权 的 客体 时 ,该 机 制 将 拒绝 这 一 请 求 ,并 向 审计 跟踪 系统 报告 该 事件 。 
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4. 数据 完整 性 机 制 

数据 完整 性 机 制 提 供 数据 完整 性 服务 ,包括 两 种 形式 : 一 种 是 数据 单元 的 完整 性 , 另 一 
种 是 数据 单元 序列 的 完整 性 。 数 据 单元 完整 性 包括 两 个 过 程 , 一 个 过 程 发 生 在 发 送 实体 , 另 
一 个 过 程 发 生 在 接收 实体 。 

保证 数据 完整 性 的 一 般 方法 是 发 送 实体 在 一 个 数据 单元 上 加 一 个 标记 ,这 个 标记 就 是 
MAC 鉴别 码 或 哈 希 值 , 它 本 身 可 以 是 经 过 加 密 的 。 接 收 实 体 计算 对 应 的 标记 ,并 将 所 产生 
的 标记 与 接收 的 标记 相 比较 , 以 确定 在 传输 过 程 中 数据 没有 被 修改 过 。 

数据 单元 序列 的 完整 性 要 求 数据 编号 的 连续 性 和 时 间 标 记 的 正确 性 ,以 防止 假冒 、 丢 
失 、 重 发 .插入 或 修改 数据 。 


5. 交换 鉴别 机 制 


交换 鉴别 是 以 交换 信息 的 方式 来 确认 实体 身份 的 机 制 。 用 于 交换 鉴别 的 基本 技术 有 密 
码 和 密码 技术 两 种 。 其 中 密码 由 发 送 方 实体 提供 ,接收 方 实体 进行 验证 。 密 码 鉴 别 技术 是 
将 交换 的 数据 加 密 , 只 有 合法 用 户 才 能 解密 ,得 出 有 意义 的 明文 。 

在 许多 情况 下 ,这 种 密码 和 密码 技术 与 许多 其 他 技术 一 起 使 用 ,包括 时 间 标 记 和 同步 时 
钟 ; 双方 或 三 方 “ 握 手 ”; 数字 签名 和 公证 机 构 以 及 利用 实体 的 特征 或 所 有 权 进 行 鉴别 , 例 
如 使 用 指纹 和 身份 卡 等 。 


6. 业务 流量 填充 机 制 

这 种 机 制 主要 是 对 抗 非法 入 侵 者 在 线路 上 监听 数据 并 对 其 进行 流量 和 流向 分 析 。 采 用 
的 方法 一 般 由 保密 装置 在 无 信息 传输 时 ,连续 发 出 伪 随 机 序列 ,使 得 侦 听 者 不 知 哪些 是 有 用 
信息 、 哪 些 是 无 用 信息 。 


7. 路 由 控制 机 制 


在 一 个 大 型 网 络 中 ,从 源 节点 到 目的 节点 可 能 有 多 条 路 径 , 有 些 路 径 可 能 是 安全 的 ,而 
另 一 些 路 径 是 不 安全 的 。 路 由 控制 机 制 可 使 信息 发 送 者 选择 特殊 的 路 由 ,以 保证 数据 安全 。 


8. 公证 机 制 

网 络 中 的 用 户 并 不 都 是 可 信 的 ,同时 也 可 能 由 于 系统 故障 等 原因 使 信息 丢失 、 延 迟 ,这 
很 可 能 引起 责任 问题 ,为 了 解决 这 个 问题 ,就 需要 有 一 个 各 方 都 信任 的 实体 一 一 公证 机 构 提 
供 公 证 服务 ,仲裁 出 现 的 问题 。 

一 旦 引入 公证 机 制 ,通信 双方 进行 数据 通信 时 必须 经 过 这 个 机 构 来 转换 ,以 确保 公证 机 
构 能 得 到 必要 的 信息 , 供 以 后 仲裁 时 使 用 。 


14 计算 机 网 络 安全 一 一 协议 .技术 与 应 用 


1.3.4 安全 管理 


安全 管理 是 指 通过 实施 一 系列 安全 政策 ,对 系统 和 网 络 上 的 操作 进行 必要 的 控制 和 管 
理 , 包 括 系统 安全 管理 .安全 服务 管理 和 安全 机 制 管 理 等 。 
。 系统 安全 管理 涉及 OSI 整体 安全 环境 的 管理 ,包括 总 体 安全 策略 管理 .OSI 安全 环 
境 之 间 的 安全 信息 交换 、 安 全 服务 管理 .安全 机 制 管理 .安全 事件 管理 .安全 审计 管 
理 以 及 安全 恢复 管理 等 。 
。 安全 服务 管理 涉及 特定 安全 服务 的 管理 ,包括 对 某 种 安全 服务 定义 其 安全 目标 、 指 
定安 全 服务 可 使 用 的 安全 机 制 , 管 理 及 调用 适当 的 安全 机 制 。 
安全 机 制 管理 涉及 特定 安全 机 制 的 管理 ,包括 密 钥 管理 .加 密 管理 ,数字 签名 管 
理 \ 访 问 控 制 管理 ,数据 完整 性 管理 ,认证 (鉴别 ) 管 理 、 业 务 流量 填充 管理 以 及 公 


证 管理 。 
每 种 安全 机 制 和 安全 服务 可 以 抵御 一 种 或 几 种 攻击 ,图 1. 12 说 明了 安全 攻击 、 安 全 机 
制 和 安全 服务 之 间 的 关系 。 
释 | 流 | 伪 | 重 | 更 | 拒 加 | 数 | 访 | 数 | 认 | 流 | 路 | 公 
放 | 量 | 装 | 放 | 改 | 绝 密 | 字 | 问 | 据 | 证 | 量 | 由 | 证 
消 | 分 消 | 服 签 | 控 | 完 | 交 | 填 | 控 
息 | 析 息 | 务 名 | 制 | 整 | 换 | 充 | 制 
内 性 
容 
服 务 
V 对 等 实体 认证 Vv V 
V 数据 源 认证 V | V 
V 访问 控制 V 
V 机 密 性 V V 
Vv 流量 机 密 性 V V | V 
V | V 数据 完整 性 V Iv Vv 
非 否认 服务 V V V 
V | 可 用 性 V | V 


图 1.12 安全 攻击 、 安 全 机 制 和 安全 服务 之 间 的 关系 


例如 ,对 等 实体 认证 服务 可 以 通过 加 密 、 数 字 签 名 和 认证 交换 (交换 鉴别 ) 等 安全 机 制 来 
提供 ,该 服务 可 以 抵御 伪装 攻击 。 数 据 完整 性 服务 可 以 使 用 加 密 、 数 字 签 名 、 数 据 完整 性 机 
制 等 来 实现 ,该 服务 可 以 提供 对 消息 的 更 改 和 重 放 攻 击 。 
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1.4 典型 网 络 安全 模型 


1.4.1 动态 自 适应 网 络 模型 


为 了 有 效 实施 网 络 安全 防护 ,人 们 提出 了 P2DR(policy protection detection response) 
模型 。 

如 图 1. 13 所 示 ,模型 以 安全 策略 为 核心 ,将 安全 
问题 归结 为 防护 (protection) ,检测 (detection) 和 响 
应 (response) 不 断 循环 的 三 个 步骤 。 认 为 安全 问题 响应 
需要 通过 风险 分 析 、 执 行 策略 、 系 统 实施 和 漏洞 检测 response 
与 实时 响应 等 一 系列 举措 来 解决 。 所 有 的 行为 均 以 
安全 策略 作为 依据 ,经 过 不 断 循环 ,逐步 完善 系统 的 


防护 


protection 


安全 性 。 其 特点 如 下 。 二 


。 安全 管理 的 持续 性 ` 安 全 策略 的 动态 性 : 实时 


图 1.13 P2DR 模型 
监视 网 络 活动 ,发 现 威胁 和 弱点 后 即时 修复 


可 测 性 (可 控 性 ): 通过 不 断 对 网 络 系统 进行 评估 而 把 握 系 统 风险 ,及 时 弱化 、 堵 塞 
安全 漏洞 。 

。 时 间 性 : 确定 防护 时 间 、 检 测 时 间 及 响应 时 间 之 间 的 关系 ,保证 入 侵 行为 能 够 被 即 

时 检测 并 处 理 。 

P2DR 模型 使 得 安全 防护 (如 采用 防火 墙 、 操 作 系 统 身 份 认证 和 加 密 等 手段 )、 检 测 ( 如 
漏洞 评估 、 入 侵 检测 等 ) 、 响 应 三 个 部 分 在 安全 策略 的 统一 控制 和 指导 下 形成 一 个 动态 的 信 
息 安全 生命 周期 。 

P2DR 模型 突出 了 时 间 的 概念 ,可 以 用 下 面 的 公式 说 明 。 

Pe > BT a 

其 中 ,P, 代表 被 保护 系统 设置 各 种 保护 方式 后 的 有 效 防护 时 间 ; D, 代表 从 入 侵 者 开始 
发 动人 侵 到 系统 能 检测 到 入 侵 所 花费 的 时 间 ; R, 代表 从 发 现 入 侵 行为 到 系统 能 够 做 出 响 
应 ,并 将 系统 调整 到 新 的 安全 状态 的 时 间 。 针 对 要 保护 的 目标 ,如 果 上 述 公 式 成 立 , 表 示 防 
护 时 间 大 于 检测 时 间 加 上 响应 时 间 , 也 就 是 说 ,在 入 侵 者 危害 信息 安全 目标 之 前 ,其 入 侵 行 
为 可 以 被 检测 并 及 时 处 理 , 说 明 该 防护 系统 是 有 效 的 。 

P2DR 模型 突破 了 传统 安全 模型 的 静态 束缚 ,在 P2DR 模型 的 基础 上 ,人 们 又 根据 自己 
的 实际 需求 作 了 一 定 的 修改 和 补充 。 比 如 有 人 认为 恢复 工作 很 重要 ,需要 强调 ,于 是 有 了 


PDRR 模型 (protection ,detection ,response and recovery)。 


图 1.14 PADIMEE 模型 


美国 互联 网 安全 系统 公司 ISS 基于 P2DR., 提 出 了 自 适应 性 网 络 安全 模型 (adaptive 
network security model, ANSM) ,并 联合 其 他 厂商 组 成 ANSM 联盟 ,试图 在 此 基础 上 
建立 全 球 网 络 安全 标准 。ISS 以 安全 服务 方法 论 为 基准 ,通过 对 技术 和 业务 需求 分 
析 ,以 及 对 客户 信息 安全 的 “生命 周期 "考虑 ,提出 PADIMEE 模型 。 该 模型 在 7 个 方 
面体 现 了 信息 系统 安全 的 持续 循环 ,分 别 是 策略 (policy) 、 评 估 (assessment) ,设计 
(design) 、 执 行 (implementation) ,管理 (management) ,应 急 响 应 (emergency response) 和 
教育 (education) ,如 图 1. 14 所 示 。 


1.4.2 APPDRR 模型 


网 络 安全 的 动态 特性 在 P2DR 模型 中 得 到 了 一 定 程 度 的 体现 ,主要 是 通过 入 侵 检测 和 
响应 完成 网 络 安全 的 动态 防护 。 但 P2DR 模型 不 能 描述 网 络 安全 的 动态 螺旋 上 升 过 程 。 为 
了 能 够 比较 确切 地 描述 网 络 安全 的 本 质 规律 ,人 们 对 P2DR 模型 进行 了 修正 和 补充 ,在 此 基 
础 上 提出 了 APPDRR 模型 。 

如 图 1. 15 所 示 , APPDRR 模型 认为 网 络 安全 由 风险 评估 (assessment)、 安 全 策略 
(policy)、 系统 防护 (protection) 动态 检测 (detection)、 实 时 响应 (reaction) 和 灾难 恢复 
(restoration)6 个 过 程 构成 。 

根据 APPDRR 模型 ,网络 安 全 的 第 一 个 重要 环节 是 风险 评估 ,通过 风险 评估 ,掌握 网 
络 安全 面临 的 风险 信息 ,进而 采取 必要 的 处 置 措施 ,使 信息 组 织 的 网 络 安全 水 平 呈 现 动 态 螺 
旋 上 升 的 趋势 。 网 络 安全 策略 是 APPDRR 模型 的 第 二 个 重要 环节 , 它 起 着 承上启下 的 作 
用 : 一 方面 ,安全 策略 应 当 随 着 风险 评估 的 结果 和 安全 需求 的 变化 做 相应 的 更 新 ; 另 一 方 
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面 ,安全 策略 在 整个 网 络 安全 工作 中 处 于 原则 性 的 指导 地 位 ,其 后 的 检测 、 响 应 等 环节 都 应 
该 在 安全 策略 的 基础 上 展开 。 系 统 防 护 是 安全 


模型 中 的 第 三 个 环节 ,体现 了 网 络 安全 的 静态 防 风险 分 析 一 安全 策略 

护 措 施 。 接 下 来 是 动态 检测 .实时 响应 和 灾难 恢 )» 

复 三 个 环节 ,体现 了 安全 动态 防护 和 安全 入 侵 、 

安全 威胁 的 对 抗 性 特征 。 灾难 恢复 (sm ) 系统 防护 
APPDRR 模型 还 隐 含 了 网 络 安全 的 相对 性 S 本 

和 动态 螺旋 上 升 的 过 程 , 即 不 存在 百分之百 的 静 

态 的 网 络 安 全 ,网 络 安全 表现 为 一 个 不 断 改 进 的 实时 响应 和 志和 检 


过 程 。 通 过 风险 评估 安全 策略 ,系统 防护 .动态 
检测 、 实 时 响应 和 灾难 恢复 6 个 环节 的 循环 流 
动 ,使 网 络 的 安全 性 逐渐 得 以 完善 和 提高 。 


图 1.15 APPDRR 模型 


1.4.3 分 层 的 网 络 安全 解决 方案 


网 络 协议 是 分 层 的 ,因此 对 于 网 络 安全 问题 ,也 可 以 从 分 层 的 角度 出 发 ,使 用 分 层 的 安 
全 协议 解决 网 络 安全 问题 。 

根据 TCP/IP 参考 模型 ,网 络 协议 分 为 应 用 层 \ 传 输 层 、 网 络 层 和 接口 层 。ISO/OSI 模 
型 则 将 网 络 协议 划分 为 应 用 层 、 表 示 层 、 会 话 层 、 传 输 层 、 网 络 层 、 链 路 层 和 物理 层 。 结 合 
TCP/IP 和 OSI 参考 模型 ,可 以 按照 应 用 层 \ 传 输 层 、 网 络 层 、 链 路 层 和 物理 层 进行 网 络 安全 
防护 体系 的 设计 。 

每 层 可 以 采用 独立 的 安全 协议 和 技术 ,也 可 以 联合 使 用 其 他 层 的 安全 技术 。 例 如 ,对 于 
数据 链 路 层 安 全 ,可 以 采用 链 路 加 密 方式 ,确保 机 密 性 。 网 络 物理 安全 的 目的 是 保护 计算 机 
设备 、 网 络 设 施 以 及 传输 介质 和 媒体 免 遭 地 震 、 水 灾 、 火 灾 、 有 害 气体 和 其 他 环境 事故 (如 电 
人 磁 污 染 , 电 源 故 障 , 设 备 被 盗 、 被 毁 等 ) 的 破坏 。 例 如 ,可 以 对 传输 介质 进行 保护 ,防止 物理 搭 
线 和 窃听 ; 设备 上 可 采用 高 可 用 性 的 硬件 、 双 机 多 元 余 组 件 ; 环境 上 应 考虑 机 房 环境 及 报 
警 系统 ; 操作 上 应 考虑 异地 备份 系统 等 。 

下 面 介绍 应 用 层 、 传 输 层 和 网 络 层 安全 协议 和 技术 。 


1. 应 用 层 安 全 协议 

如 图 1. 16 所 示 ,针对 每 种 应 用 层 协议 ,可 采用 相应 的 安全 协议 进行 安全 保护 。 如 针对 
SMTP 的 S/MIME、PGP(pretty good privacy) 和 PEM(privacy enhanced mail) 协 议 ; 针对 
HTTP 协议 的 SHTTP(secure hyper text transfer protocol) 协 议 ; 针对 DNS 的 DNS Sec、 
TSIG 和 SKEY 协议 ; 针对 SNMP 的 安全 协议 SNMPv3 等 。 这 些 协议 在 各 自 的 应 用 层 协 
议 之 上 进行 安全 加 密 、 身 份 鉴别 和 数据 完整 性 保护 。 另 外 ,可 以 使 用 Kerberos 协议 提供 身 


smrp |lG| Elisurre| |DNS| TsIG | [sympvs 
Pp Sec || TKEY 
SMTP ~ || HrTP DNS | SNMP |[Kerberos 
TCP UDP 
IP 


图 1.16 应 用 层 安全 协议 
份 鉴别 , 它 不 依赖 具体 的 应 用 层 协议 ,运行 在 UDP 之 上 。 


2. 传输 层 安全 协议 

在 传输 层 和 应 用 层 之 间 ,可 以 采用 如 下 安全 协议 。 

。 SSL/TLS: 安全 套 接 层 协 议 (secure socket layer/transport layer security, SSL/ 
TLS) 提 供 传输 协议 之 上 的 可 靠 的 端 到 端 安全 服务 ,为 两 个 通信 对 等 实体 之 间 提 供 
保密 性 .完整 性 以 及 鉴别 服务 。 常 用 于 HTTP 协议 , 即 HTTPS, 也 可 用 于 其 他 应 用 
层 协议 。 

。 SSH: SSH(secure shell) 是 Internet 工程 任务 组 IETF(JInternet engineering task 
force) 制 定 的 一 族 协 议 , 目 的 是 在 非 安 全 网 络 上 提供 安全 的 远程 登录 和 其 他 安全 服 
务 。SSH 主要 解决 的 是 密码 在 网 上 明文 传输 的 问题 ,因此 通常 用 来 替代 TELNET、 
FTP 等 协议 。SSH 可 提供 基于 主机 的 认证 ,机密 性 和 数据 完整 性 服务 。 

。 SOCKS: 套 接 字 安全 (socket security,SOCKS) 是 一 种 网 络 代理 协议 。 该 协议 允许 
使 用 私有 IP 地 址 的 内 部 主机 通过 SOCKS 服务 器 访问 Internet, 并 且 连 接 过 程 是 经 
过 认证 的 。 可 提供 认证 机 制 `. 地 址 解析 代理 .数据 完整 性 和 机 密 性 等 服务 。 


3. 网 络 层 安全 协议 

IPSec 针对 IP 协议 进行 数据 源 鉴 别 、 完 整 性 保护 和 数据 加 密 。IPSec 包括 验证 头 
(authentication header,AH) 和 封装 安全 载荷 (encapsulation security payload,ESP) 两 个 子 
协议 。 其 中 AH 对 IP 报 文 进行 认证 ,同时 可 保证 IP 数据 部 分 的 完整 性 ,但 不 提供 数据 加 密 
服务 。ESP 主要 提供 IP 报 文 的 加 密 服务 ,同时 提供 认证 支持 ,加 密 过 程 与 具体 加 密 算法 相 
独立 。 

除了 分 层 的 安全 协议 ,还 可 以 采用 相应 的 安全 技术 来 保护 网 络 体系 的 安全 ,例如 ,在 网 
络 层 安 全 协议 条 件 下 讨论 的 应 用 层 安 全 技术 如 下 。 

(1) 系统 扫描 : 采用 系统 扫描 技术 ,对 系统 内 部 安全 弱点 进行 全 面 分 析 , 以 协助 进行 安 
全 风险 管理 。 区 别 于 静态 的 安全 策略 ,系统 扫描 工具 对 主机 进行 预防 潜在 安全 风险 的 设置 。 
其 中 包括 易 猜 出 的 密码 .用户 权限 ,文件 系 统 访问 权限 、 服 务 器 设置 以 及 其 他 含有 攻击 隐患 
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的 可 疑点 。 

(2) 系统 实时 入 侵 检 测 : 为 了 加 强 主 机 的 安全 ,还 应 采用 基于 操作 系统 的 入侵 检测 技 
术 。 系 统 入 侵 检测 技术 监控 主机 的 系统 事件 ,实时 检查 系统 的 审计 记录 ,从 中 检测 出 攻击 的 
可 疑 特征 ,并 给 予 响应 和 处 理 ,如 停止 入 侵 进 程 、 切 断 可 疑 的 通信 连接 、 恢 复 受 损 数据 等 。 

(3) 防 病 毒 : 防 病毒 更 广泛 的 定义 应 该 是 防范 恶意 代码 ,恶意 代码 不 限于 病毒 ,还 包括 
蠕虫 ,特洛伊 木马 、 人 逻辑 炸弹 ,以 及 其 他 未 经 同意 的 软件 。 防 病毒 系统 应 对 网 关 、 邮 件 系 统 、 
群 件 系 统 文件 服务 器 和 工作 站 进行 全 方位 的 保护 , 阻 断 恶意 代码 传播 的 所 有 渠道 。 这 要 求 
防 病毒 系统 对 病毒 特征 码 进行 及 时 更 新 。 

(4) 日 志和 审计 : 主机 的 日 志和 审计 记录 能 够 提供 有 效 的 入 侵 检 测 和 事后 追查 机 制 。 
当前 应 用 中 的 主要 网 络 操作 系统 (主要 包括 路 由 器 、 交 换 机 、Unix 类 和 Windows NT 操作 
系统 等 ) 都 能 够 提供 基本 的 日 志 记录 功能 ,用 于 记录 用 户 和 进程 对 于 重要 文件 的 更 改 和 对 网 
络 资源 的 访问 等 。 

(5) 用 户 识别 和 认证 : 身份 认证 技术 是 实现 资源 访问 控制 的 重要 手段 。 在 应 用 层 或 应 
用 系统 中 可 以 使 用 密码 、 认 证 令 牌 (例如 智能 卡 、 密 码 计算 器 )、 基 于 生物 特征 的 验证 等 多 种 
手段 和 方法 进行 身份 鉴别 ,以 防止 未 授权 访问 和 使 用 网 络 资源 。 

(6) 应 用 服务 器 的 安全 设置 : 应 用 层 协 议 在 各 种 应 用 服务 器 中 实现 ,为 了 更 好 地 保护 
应 用 系统 ,必须 对 应 用 服务 器 进行 合理 设置 和 安全 防护 。 例 如 对 各 级 目录 的 权限 进行 严格 
控制 ; 对 用 户 进 行 授权 和 管理 ,对 应 用 服务 器 软件 及 时 升级 和 更 新 等 。 

网 络 层 可 采用 如 下 安全 技术 进行 防护 。 

(1) 安全 的 网 络 拓扑 结构 : 保证 网 络 安全 的 首要 问题 就 是 要 合理 规划 网 络 拓 扑 结 构 ， 
利用 网 络 中 间 设 备 的 安全 机 制 控 制 各 网 络 间 的 访问 。 

(2) 传输 加 密 : 由 于 入 侵 者 可 能 穷 听 机 密 信息 、 自 改 数据 ,为 了 防范 这 类 安全 风险 , 传 
输 系统 必须 保证 数据 的 机 密 性 与 完整 性 ,并 且 提 供 抗 流量 分 析 的 能 力 。 可 以 选用 IPSec 加 
密 等 来 满足 数据 机 密 性 要 求 。 

(3) 网 络 层 漏洞 扫描 : 解决 网 络 层 安 全 问题 ,首先 要 清楚 网 络 中 存在 哪些 安全 隐患 、 脆 
弱点 。 面 对 大 型 网 络 的 复杂 性 和 不 断 变化 的 情况 ,依靠 网 络 管理 员 的 技术 和 经 验 寻找 安全 
漏洞 并 做 出 风险 评估 显然 是 不 现实 的 。 解 决 的 方案 是 ,寻找 一 种 能 寻找 网 络 安全 漏洞 ,评估 
并 提出 修改 建议 的 网 络 安全 扫描 工具 。 

网 络 漏洞 扫描 与 安全 评估 系统 通过 对 附属 在 网 络 中 的 设备 进行 网 络 安全 弱点 检测 与 分 
析 ,能 够 发 现 并 试图 修复 安全 漏洞 。 

(4) 防火 墙 : 可 以 采用 防火 墙 进行 包 过 滤 ,防止 非 法 数据 的 进入 。 防 火 墙 是 解决 子 网 
的 边界 安全 问题 .实现 网 络 访问 控制 的 有 效 方法 。 防 火 墙 的 目的 是 在 内 部 、 外 部 两 个 网 络 之 
间 建 立 一 个 安全 控制 点 ,通过 允许 ,拒绝 或 重新 定向 经 过 防火 墙 的 数据 流 ,实现 对 进 、 出 内 部 
网 络 的 服务 .访问 的 审计 和 控制 。 
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1.5 网 络 安全 评估 规范 


信息 安全 评估 标准 是 信息 安全 评估 的 行动 指南 。 可 信 计 算 机 系统 安全 评估 标准 
(TCSEC) 由 美国 国防 部 于 1985 年 公布 ,是 计算 机 系统 信息 安全 评估 的 第 一 个 正式 标准 。 
它 把 计算 机 系统 的 安全 分 为 4 类 、7 个 级 别 , 对 用 户 登 录 、 授 权 管 理 . 访 问 控制 .审计 跟踪 、 隐 
蔽 通道 分 析 、 可 信 通 道 建立 .安全 检测 .生命 周期 保障 ,文档 写作 和 用 户 指 南 等 内 容 提 出 了 规 
范 性 要 求 。 

信息 技术 安全 评估 标准 (ITSEC, 欧 洲 白皮书 ) 是 由 法 、 英 、 荷 和 德 欧洲 4 国 在 20 世纪 
90 年 代 初 联合 发 布 的 , 它 提出 了 信息 安全 的 机 密 性 ,完整 性 、 可 用 性 的 安全 属性 。ITSEC 把 
可 信 计 算 机 的 概念 提高 到 可 信人 信息 技 术 的 高 度 ,对 国际 信息 安全 的 研究 、 实 施 产 生 了 深刻 的 
影响 。 

信息 技术 安全 评价 的 通用 标准 (common criteria,CC) 是 由 6 个 国家 (美加 、 英 法、 德 、 
荷 ) 于 1996 年 联合 提出 的 ,并 逐渐 形成 国际 标准 ISO 15408(《 信 息 技术 一 安全 技术 一 IT 安 
全 评估 准则 》 ,包含 三 个 部 分 : 第 一 部 分 为 “介绍 和 一 般 模型 >; 第 二 部 分 为 “安全 功能 需 
求 ”; 第 三 部 分 为 “安全 认证 需求 >。 该 标准 定义 了 评价 信息 技术 产品 和 系统 安全 性 的 基本 
准则 ,提出 了 目前 国际 上 公认 的 表述 信息 技术 安全 性 的 结构 , 即 把 安全 要 求 分 为 规范 产品 和 
系统 安全 行为 的 功能 要 求 以 及 解决 如 何 正确 有 效 地 实施 这 些 功 能 的 保障 要 求 。CC 标准 的 
发 布 对 信息 安全 评估 具有 重要 意义 ,是 信息 技术 安全 评价 标准 以 及 信息 安全 技术 发 展 的 一 
个 重要 里 程 碑 。 

ISO 13335(《 信 息 技 术 安 全 管理 方针 》) 给 出 了 关于 IT 安全 的 保密 性 、 完 整 性 、 可 用 性 、 
审计 性 、 认 证 性 和 可 靠 性 6 个 方面 含义 ,并 提出 了 以 风险 为 核心 的 安全 模型 : 企业 的 资产 面 
临 很 多 威胁 (包括 来 自 内 部 的 威胁 和 来 自 外 部 的 威胁 ); 威胁 利用 信息 系统 存在 的 各 种 漏洞 
(如 物理 环境 、 网 络 服务 、 主 机 系统 、 应 用 系统 、 相 关 人 员 和 安全 策略 等 ), 对 信息 系统 进行 渗 
透 和 攻击 。 如 果 渗 透 和 攻击 成 功 ,将 导致 企业 资产 的 暴露 ; 资产 的 暴露 (如 系统 高 级 管理 人 
员 由 于 不 小 心 而 导致 重要 机 密 信息 的 泄露 ) .会 对 资产 的 价值 产生 影响 (包括 直接 和 间接 的 
影响 ); 风险 就 是 威胁 利用 漏洞 使 资产 暴露 而 产生 的 影响 的 大 小 , 它 可 以 由 资产 的 重要 性 和 
价值 所 决定 ; 对 企业 信息 系统 安全 风险 的 分 析 , 得 出 了 系统 的 防护 需求 ; 根据 防护 需求 的 
不 同 制定 系统 的 安全 解决 方案 ,选择 适当 的 防护 措施 ,进而 降低 安全 风险 ,并 抗击 威胁 。 该 
模型 阐述 了 信息 安全 评估 的 思路 ,对 企业 的 信息 安全 评估 工作 具有 指导 意义 。 

ISO 27001(《 信 息 安全 管理 基础 》) 是 根据 英国 的 工业 ,政府 和 商业 的 共同 需求 而 开发 的 
一 个 标准 , 它 分 两 部 分 : 第 一 部 分 为 “信息 安全 管理 事务 准则 ”; 第 二 部 分 为 “信息 安全 管理 
系统 的 规范 ”。 目 前 此 标准 已 经 被 很 多 国家 采用 ,并 成 为 国际 标准 ISO 17799。1ISO 17799 
包含 10 个 控制 大 项 、36 个 控制 目标 和 127 个 控制 措施 。ISO 17799 主要 提供 了 有 效 实施 信 


第 1 章 网 络 安全 概述 21 


息 系统 风险 管理 的 建议 ,并 介绍 了 风险 管理 的 方法 和 过 程 。 企 业 可 以 参照 该 标准 制定 自己 
的 安全 策略 和 风险 评估 实施 步骤 。 

AS/NZS 4360:1999 是 澳大利亚 和 新 西 兰 联合 开发 的 风险 管理 标准 ,第 一 版 于 1995 年 
发 布 。 在 AS/NZS 4360:1999 中 ,风险 管理 分 为 建立 环境 、 风 险 识别 、 风 险 分 析 、 风 险 评价 、 
风险 处 置 、 风 险 监 控 与 回顾 、 通 信和 咨询 7 个 步骤 。AS/NZS 4360:1999 是 风险 管理 的 通用 
指南 , 它 给 出 了 一 整套 风险 管理 的 流程 ,对 信息 安全 风险 评估 具有 指导 作用 。 

OCTAVE(operationally critical threat,asset and vulnerability evaluation) 是 可 操作 的 
关键 威胁 、 资 产 和 弱点 评估 方法 和 流程 。OCTAVE 首先 强调 的 是 0 一 可 操作 性 ,其 次 是 
C 一 关键 系统 。OCTAVE 将 信息 安全 风险 评估 过 程 划分 为 三 个 阶段 : 阶段 一 为 建立 基于 资 
产 的 威胁 配置 文件 ; 阶段 二 为 标识 基础 结构 的 弱点 ; 阶段 三 为 确定 安全 策略 和 计划 。 

信息 保障 技术 框架 (information assurance technical framework,IATF) 是 美国 国家 安 
全 局 NSA 的 研究 成 果 , 它 是 不 断 更 新 、 修 改 的 ,反映 了 NSA 研究 信息 保障 的 阶段 性 成 果 。 
目前 IATF 在 美国 得 到 了 广泛 的 应 用 。IATF 基于 深度 防御 战略 Defense-in-Depth, 即 信息 
保障 依赖 人 、 操 作 、 技 术 三 个 因素 实现 组 织 的 任务 与 业务 运作 。IATF 的 观点 是 通过 有 效 结 
合 当 前 已 有 成 熟 技 术 ,充分 考虑 人 员 ,技术 、 操 作 三 方面 的 影响 ,并 衡量 防护 能 力 、 防 护 性 能 、 
防护 耗费 和 易 操作 性 等 各 方面 因素 ,得 到 系统 防护 的 最 有 效 的 实用 方案 ,从 而 实现 信息 保 
障 。 稳 健 的 信息 保障 状态 意味 着 信息 保障 的 政策 .步骤 .技术 与 机 制 在 整个 组 织 的 信息 基础 
设施 的 所 有 层面 上 均 得 以 有 效 实施 。IATF 定义 了 对 一 个 系统 进行 信息 保障 的 过 程 , 以 及 
该 系统 中 硬件 和 软件 部 件 的 安全 要 求 。 遵 循 这 些 要 求 和 选择 原则 ,可 以 对 信息 基础 设施 进 
行 深度 防御 的 多 层 防 护 。 

我 国 在 风险 评估 方面 ,主要 采用 等 同 国际 标准 ,如 GB 18336 等 同 采用 ISO 15408 标准 。 
公安 部 主持 制定 了 中 华人 民 共 和 国 国 家 标准 GB 17895 一 1999(《 计 算 机 信息 系统 安全 保护 
等 级 划分 准则 》) 。 该 准则 将 信息 系统 安全 分 为 5 个 等 级 : 自主 保护 级 .系统 审计 保护 级 、 安 
全 标记 保护 级 .结构 化 保护 级 和 访问 验证 保护 级 。 主 要 的 安全 考核 指标 有 身份 认证 .自主 访 
问 控制 ,数据 完整 性 和 审计 等 ,这 些 指 标 涵 盖 了 不 同 级 别 的 安全 要 求 。 


1.5.1 可 信 计 算 机 系统 评估 准则 


在 TCSEC 中 ,美国 国防 部 按照 处 理 信息 的 等 级 和 应 采用 的 相应 措施 ,将 计算 机 安全 从 
高 到 低 分 为 A、B、C、D 4 类 .8 个 级 别 , 共 27 条 评估 准则 。 随 着 安全 等 级 的 提高 ,系统 的 可 
信和 度 随 之 增加 ,风险 逐渐 减少 。 

TCSEC 包括 4 个 安全 等 级 : 

。 无 保护 级 (D 类 ) 。 

。 自主 保护 级 (C 类 ) 。 

。 强制 保护 级 (B 类 ) 。 
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。 验证 保护 级 (A 类 )。 

其 中 ,D 类 是 无 保护 级 ,为 最 低 的 安全 保护 等 级 ,是 为 那些 经 过 评估 ,但 不 满足 较 高 评估 
等 级 要 求 的 系统 设计 的 ,这 种 系统 不 能 满足 多 用 户 环境 下 处 理 敏 感 信息 的 要 求 。 

C 类 是 自主 保护 级 ,具有 一 定 的 保护 能 力 , 采 用 的 措施 是 自主 访问 控制 和 审计 跟踪 ,一 
般 只 适用 于 具有 一 定 等 级 的 多 用 户 环 境 , 具 有 对 主体 责任 及 其 动作 审计 的 能 力 。C 类 分 为 
Cl 和 C2 两 个 级 别 : 自主 安全 保护 级 (Cl 级) 和 控制 访问 保护 级 (C2 级 ) 。C1 级 的 可 信 计 算 
基 (trusted computing base,TCB). 即 系统 中 所 有 保护 机 构 的 总 称 , 通 过 隔离 用 户 与 数据 ,使 
用 户 具备 自主 安全 保护 的 能 力 。 它 具有 多 种 形式 的 控制 能 力 , 对 用 户 实施 访问 控制 ,为 用 户 
提供 可 行 的 手段 ,保护 用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。C1l 级 
的 系统 适用 于 处 理 同一 敏感 级 别 数 据 的 多 用 户 环境 。C2 级 计算 机 系统 比 C1 级 具有 更 细 粒 
度 的 自主 访问 控制 。C2 级 通过 注册 过 程控 制 、 审 计 安全 相关 事件 以 及 资源 隔离 ,使 单个 用 
户 为 其 行为 负责 。 

B 类 为 强制 保护 级 ,要 求 是 TCB 应 维护 完整 的 安全 标记 ,并 在 此 基础 上 执行 一 系列 强制 
访问 控制 规则 ,B 类 系统 中 的 主要 数据 结构 必须 携带 敏感 标记 ,系统 的 开发 者 还 应 为 TCB 提 
供 安 全 策略 模型 以 及 TCB 规约 ,应 提供 证 据 证 明 访 问 监控 器 得 到 了 正确 的 实施 。B 类 分 为 三 
个 级 别 : 标记 安全 保护 级 (Bl 级 ) 结构 化 保护 级 (B2 级 ) 和 安全 区 域 保护 级 (B3 级 ) 。 

Bl 级 系统 要 求 具有 C2 级 系统 的 所 有 特性 ,在 此 基础 上 ,还 应 提供 安全 策略 模型 的 非 形 
式 化 描述 .数据 标记 以 及 命名 主体 和 客体 的 强制 访问 控制 并 消除 测试 中 发 现 的 所 有 缺陷 。 
在 B2 级 系统 中 ,TCB 建立 于 一 个 明确 定义 并 文档 化 .形式 化 安全 策略 模型 之 上 ,要求 将 B1 
级 系统 中 建立 的 自主 和 强制 访问 控制 扩展 到 所 有 的 主体 与 客体 。 在 此 基础 上 ,应 对 隐蔽 信 
道 进 行 分 析 。TCB 应 结构 化 为 关键 保护 元 素 和 非 关 键 保护 元 素 ,鉴别 机 制 应 得 到 加 强 , 提 
供 可 信 设 施 管理 以 支持 系统 管理 员 和 操作 员 的 职能 ,提供 严格 的 配置 管理 控制 。B2 级 系统 
应 具备 相当 的 抗 渗透 能 力 。B3 级 系统 支持 安全 管理 员 职 能 .扩充 审计 机 制 , 当 发 生 与 安全 
相关 的 事件 时 ,发 出 信号 并 提供 系统 恢复 机 制 。 

A 类 为 验证 保护 级 。A 类 的 特点 是 使 用 形式 化 的 安全 验证 方法 ,保证 系统 的 自主 和 强 
制 安全 控制 措施 能 够 有 效 地 保护 系统 中 存储 和 处 理 的 敏感 信息 ,为 证 明 TCB 满足 设计 、 开 
发 及 实现 等 各 个 方面 的 安全 要 求 , 系 统 应 提供 丰富 的 文档 信息 。A 类 分 为 两 个 级 别 : 验证 
设计 级 Al 级 和 超 Al 级 。 安 全 策略 的 形式 化 模型 必须 得 到 明确 标识 并 文档 化 ,提供 该 模型 
与 其 公理 一 致 以 及 能 够 对 安全 策略 提供 足够 支持 的 数学 证 明 , 应 提供 形式 化 的 高 层 规约 , 包 
括 TCB 功能 的 抽象 定义 、 用 于 隔离 执行 域 的 硬件 .固件 机 制 的 抽象 定义 。 

Al 级 系统 要 求 更 严格 的 配置 管理 ,要 求 建立 系统 安全 分 发 的 程序 ,支持 系统 安全 管理 
员 的 职能 。 超 Al 级 在 Al 级 基础 上 增加 的 许多 安全 措施 超出 了 目前 的 技术 发 展 。 随 着 更 
多 ,更 好 的 分 析 技 术 的 出 现 , 本 级 系统 的 要 求 才 会 变 得 更 加 明确 。 形 式 化 的 验证 方法 将 应 用 
到 源码 一 级 ,并 且 时 间 隐 蔽 信道 将 得 到 全 面 的 分 析 。 在 这 一 级 ,设计 环境 变 得 更 重要 ,形式 
化 高 层 规约 的 分 析 将 对 测试 提供 帮助 。TCB 开发 中 使 用 的 工具 的 正确 性 及 TCB 运行 的 软 
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硬件 功能 的 正确 性 将 得 到 更 多 的 关注 。 超 Al 级 系统 涉及 的 范围 包括 系统 体系 结构 、 安 全 
测试 .形式 化 规约 与 验证 以 及 可 信 设 计 环 境 等 。 


1.5.2 通用 准则 


CC 定义 了 一 套 能 满足 各 种 需求 的 IT 安全 准则 , 共 分 为 三 部 分 : 第 一 部 分 为 “简介 和 一 
般 模型 ”; 第 二 部 分 为 “安全 功能 要 求 ”; 第 三 部 分 为 “安全 保证 要 求 ”。 其 中 心 内 容 是 : 当 在 
安全 保护 框架 (protect profile, PP) 和 安全 目标 (security target,ST) 中 描述 评测 对 象 (target 
of evaluation,TOE) 的 安全 要 求 时 ,应 尽 可 能 使 用 其 与 第 二 部 分 描述 的 安全 功能 组 件 和 第 
三 部 分 描述 的 安全 保证 组 件 相 一 致 。 

CC 在 第 一 部 分 描述 了 对 PP 和 ST 的 要 求 。 与 传统 的 软件 系统 设计 相 比 较 ,PP 实际 上 
就 是 安全 需求 的 完整 表示 ,ST 则 是 通常 所 说 的 安全 方案 。CC 在 第 二 部 分 和 第 三 部 分 分 别 
详细 介绍 了 为 实现 PP 和 ST 所 需要 的 安全 功能 要 求 和 安全 保障 要 求 , 并 对 安全 保证 要 求 进 
行 了 等 级 划分 ( 共 分 为 7 个 等 级 ) 。 对 于 安全 功能 要 求 ,CC 虽然 没有 进行 明确 的 等 级 划分 ， 
但 是 在 对 每 一 类 功能 进行 具体 描述 时 ,要 求 上 还 是 有 差别 的 。 

CC 在 对 安全 保护 框架 和 安全 目标 的 一 般 模型 进行 介绍 以 后 ,分 别 从 安全 功能 和 安全 
保证 两 方面 对 IT 安全 技术 的 要 求 进行 了 详细 描述 ,主要 内 容 如 下 。 


1. 安全 功能 要 求 
CC 将 安全 功能 要 求 分 为 以 下 11 类 : 
。 安全 审计 类 。 
。 通信 类 (主要 是 身份 真实 性 和 抗 抵赖 ) 。 
。 密码 支持 类 。 
。 用 户 数据 保护 类 。 
标识 和 鉴别 类 。 
。 安全 管理 类 (与 TSF 有 关 的 管理 ) 。 
。 隐秘 类 (保护 用 户 隐私 )。 
。 TSF 保护 类 (TOE 自身 安全 保护 )。 
。 资源 利用 类 (从 资源 管理 角度 确保 TSF 安全 )。 
TOE 访问 类 (从 对 TOE 的 访问 控制 确保 安全 性 ) 。 
。 可 信 路 径 、 信 道 类 。 
这 些 安全 类 又 分 为 族 , 族 中 又 分 为 组 件 。 组 件 是 对 具体 安全 要 求 的 描述 ,每 一 个 族 中 的 
具体 安全 要 求 也 是 有 差别 的 ,但 CC 没有 以 这 些 差别 作为 划分 安全 等 级 的 依据 。 
对 CC 的 11 个 安全 类 的 内 容 分 析 可 知 ,其 中 的 前 7 类 的 安全 功能 是 提供 给 信息 系统 使 
用 的 ,而 后 4 类 安全 功能 是 为 确保 安全 功能 模块 的 自身 安全 而 设置 的 。 
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2. 安全 保证 要 求 

具体 的 安全 保证 要 求 分 为 以 下 8 类: 

。 配置 管理 类 。 

”分 发 和 操作 类 。 

。 开发 类 。 

。 生命 周期 支持 类 。 

。 测试 类 。 

。 脆弱 性 评定 类 。 

。 保证 的 维护 类 。 

按照 对 上 述 8 类 安全 保证 要 求 的 不 断 递 增 ,CC 将 TOE 分 为 如 下 7 个 安全 保证 级 。 

。 第 1 级 : 功能 测试 级 。 

。 第 2 级 : 结构 测试 级 。 

。 第 3 级 : 系统 测试 和 检查 级 。 

。 第 4 级 : 系统 设计 ,测试 和 复查 级 。 

"第 5 级 : 半 形 式 化 设计 和 测试 级 。 

"第 6 级 : 半 形 式 化 验证 的 设计 和 测试 级 。 

。 第 7 级 : 形式 化 验证 的 设计 和 测试 级 。 

CC 适用 于 硬件 .固件 和 软件 实现 的 信息 技术 安全 措施 ,而 某 些 内 容 因 涉 及 特殊 专业 技 
术 或 仅 是 信息 技术 安全 的 外 围 技 术 不 在 CC 的 范围 内 。 

使 用 通用 评估 方法 学 可 以 提供 评估 结果 的 可 重复 性 和 客观 性 。 许 多 评估 准则 需要 使 用 
专家 判断 和 一 定 的 背景 知识 。 为 了 增强 评估 结果 的 一 致 性 ,最 终 的 评估 结果 应 提交 给 一 个 
认证 过 程 ,该 过 程 是 一 个 针对 评估 结果 的 独立 的 检查 过 程 ,并 生成 最 终 的 证 书 或 正式 批文 。 
图 1.17 给 出 了 通用 准则 的 评估 过 程 。 


1.5.3 ”信息 安全 保障 技术 框架 


信息 安全 保障 技术 框架 (IATF ) 为 保护 政府 .企业 信息 及 信息 基础 设施 提供 了 技术 指 
南 。IATF 对 信息 安全 保障 技术 4 个 领域 的 划分 同样 适用 于 信息 系统 的 安全 评估 , 它 给 出 
了 一 种 实现 系统 安全 要 素 和 安全 服务 的 层次 结构 。 

信息 安全 保障 技术 框架 将 计算 机 信息 系统 划分 为 本 地 计算 环境 、 区 域 边界 、 网 络 和 基础 
设施 支撑 基础 设施 4 个 部 分 。 

本 地 计算 环境 一 般 包 括 服 务 器 、 客 户 端 及 其 上 的 应 用 (如 打印 服务 、 目 录 服 务 等 )、 操 作 
系统 数据 库 和 基于 主机 的 监控 组 件 ( 如 病毒 检测 、 入 侵 检测 )。 
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图 1.17 通用 准则 的 评估 过 程 


区 域 是 指 在 单一 安全 策略 管理 下 ,通过 网 络 连接 起 来 的 计算 设备 的 集合 。 区 域 边界 是 
区 域 与 外 部 网 络 发 生 信息 交换 的 部 分 。 区 域 边界 确保 进入 的 信息 不 会 影响 区 域内 资源 的 安 
全 ,而 离开 的 信息 是 经 过 合法 授权 的 。 区 域 边界 上 有 效 的 控制 措施 包括 防火 墙 \VPN 标识 
和 上 鉴别、 访问 控制 等 。 监测 措施 包括 基于 网 络 的 人 侵 检 测 系统 (intrusion detection 
systems,IDS) 、 脆 弱 性 扫描 器 、 局 域 网 上 的 病毒 检测 器 等 。 边 界 的 主要 作用 是 防止 外 来 攻 
击 , 它 也 可 以 用 来 对 付 某 些 恶 意 的 内 部 人 员 。 这 些 内 部 人 员 有 可 能 利用 边界 环境 发 起 攻击 ， 
通过 开放 后 门 或 隐蔽 信道 来 为 外 部 攻击 提供 方便 。 

网 络 和 基础 设施 在 区 域 之 间 提 供 连 接 , 包 括 局 域 网 .园区 网 、 城 域 网 和 广域网 等 。 其 中 
包括 在 网 络 节点 间 ( 如 路 由 器 和 交换 机 ) 传 递 信 息 的 传输 部 件 ( 如 卫星 、 微 波 和 光纤 等 ) ,以 及 
其 他 重要 的 网 络 基础 设施 组 件 如 网 络 管理 组 件 .域名 服务 器 及 目录 服务 组 件 等 。 对 网 络 和 
基础 设施 的 安全 要 求 主要 是 鉴别 ,访问 控制 .机密 性 ,完整 性 , 抗 抵赖 性 和 可 用 性 。 

支撑 基础 设施 提供 了 在 网 络 ` 区 域 及 计算 环境 内 进行 安全 管理 .安全 服务 所 使 用 的 基础 
设施 。 主 要 为 以 下 内 容 提供 安全 服务 : 终端 用 户 工 作 站 、WWW 服务 .文件 .DNS 服务 和 目 
录 服 务 等 。 

IATF 中 涉及 到 两 个 方面 的 支撑 基础 设施 : KMI/PKI(key management infrastructure/ 
public key infrastructure) ,检测 响应 基础 设施 。KMI/PKI 提供 了 一 个 公 钥 证 书 及 传统 对 称 
密 钥 的 产生 ,分 发 及 管理 的 统一 过 程 。 检 测 及 响应 基础 设施 提供 针对 入 侵 的 检测 和 响应 , 包 
括 入 侵 检 测 、 监 控 软件 等 。 

使 用 多 层 信 息 安 全 保障 技术 来 保证 信息 的 安全 意味 着 通过 对 关键 部 位 提供 适当 层次 的 
保护 就 可 以 为 组 织 提供 有 效 的 保护 。 这 种 分 层 的 策略 允许 在 恰当 的 部 位 存在 低 保证 级 别 的 
应 用 ,而 在 关键 部 位 ,如 网 络 边界 部 分 采用 高 保证 级 别 的 应 用 。 区 域 边界 保护 内 部 的 计算 环 
境 , 控 制 外 部 用 户 的 非 授权 访问 ,同时 控制 内 部 恶意 用 户 从 区 域内 发 起 攻击 。 

在 对 信息 系统 进行 安全 评估 时 ,可 以 依据 这 种 多 层 的 深度 保卫 战略 对 系统 的 构成 进行 
合理 分 析 ,根据 系统 面临 的 各 种 威胁 及 实际 安全 需求 分 别 对 计算 环境 、 区 域 边 界 . 网 络 和 基 
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础 设施 、 支 撑 基 础 设施 进行 安全 评估 、 对 系统 的 安全 保护 等 级 作出 评估 。 在 网 络 上 ,有 三 种 
不 同 的 通信 流 : 用 户 通信 流 、 控 制 通信 流 和 管理 通信 流 。 信 息 系统 应 保证 局 域内 这 些 通信 
流 的 安全 。 

成 功 的 组 织 结构 


[ > 
信息 保障 (IA) 
深度 保护 战略 


i 
进行 操作 


支撑 基础 设施 | 


网 络 
基础 设施 


网 络 边 界 状 中 计算 环境 


KMI/PKI| | 检测 与 响应 


图 1.18 IATF 的 框架 模型 


如 图 1. 18 所 示 ,IATF 规划 的 信息 安全 保障 体系 包含 如 下 三 个 要 素 。 
。 人: 是 信息 体系 的 主体 ,是 信息 系统 的 拥有 者 .管理 者 和 使 用 者 ,是 信息 保障 体系 的 
核心 ,是 第 一 位 的 要 素 , 同 时 也 是 最 脆弱 的 。 正 是 基于 这 样 的 认识 ,安全 管理 在 安全 
保障 体系 中 就 愈 显 重要 ,可 以 这 么 说 ,信息 安全 保障 体系 实质 上 就 是 一 个 安全 管理 
的 体系 ,其 中 包括 意识 培训 、 组 织 管理 ,技术 管理 和 操作 管理 等 多 个 方面 。 
技术 : 是 实现 信息 保障 的 重要 手段 ,信息 保障 体系 所 应 具备 的 各 项 安全 服务 就 是 通 
过 技术 机 制 来 实现 的 。 这 些 技术 不 单 是 以 防护 为 主 的 静态 技术 体系 ,还 包括 防护 、 
检测 .响应 .恢复 并 重 的 动态 的 技术 体系 。 
操作 : 或 称 运行 , 它 构成 了 安全 保障 的 主动 防御 体系 ,操作 和 流程 是 将 各 方面 技术 
紧密 结合 在 一 起 的 主动 的 过 程 ,其 中 包括 风险 评估 、 安 全 监控 ,安全 审计 、 跟 踪 告 警 、 
入 侵 检 测 和 响应 恢复 等 内 容 。 

在 明确 了 信息 保障 的 三 项 要 素 之 后 ,IATF 定义 了 实现 信息 保障 目标 的 工程 过 程 和 信 
息 系统 各 个 方面 的 安全 需求 。 在 此 基础 上 ,对 信息 基础 设施 就 可 以 做 到 多 层 防 护 ,这 样 的 防 
护 被 称 为 “深度 防护 战略 (defense-in-depth strategy)”。 

在 关于 实现 信息 保障 目标 的 过 程 和 方法 上 ,IATF 论述 了 系统 工程 、 系 统 采 购 、 风 险 管 
理 、 认 证 和 鉴别 以 及 生命 周期 支持 等 过 程 ,对 这 些 与 信息 系统 安全 工程 活动 相关 的 方法 学 作 
了 说 明 。 

信息 保障 体系 即 安 全 循环 体系 和 完整 的 实施 体系 ,最 终 实 现 对 于 信息 和 信息 系统 持续 
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安全 性 的 保证 。 这 个 保障 体系 包括 风险 分 析 、 安 全 防护 、 安 全 检测 .安全 测试 与 评估 应急 响 
应 ,恢复 和 实施 体系 。 
。 风险 分 析 : 包括 确定 系统 资源 清单 ,进行 脆弱 性 评估 ,分 析 系 统 风险 级 别 等 。 风 险 
分 析 是 了 解 信息 系统 各 方面 状态 的 关键 步 又。 
。 安全 防护 : 采用 相关 安全 技术 安全 机 制 、 安 全 产品 ,实现 安全 防护 方案 。 安 全 防护 
是 保障 信息 安全 性 的 重要 静态 措施 。 
。 安全 检测 : 使 用 实时 监控 、 入 侵 检测 和 漏洞 扫描 等 技术 ,对 系统 进行 安全 检测 ,形成 
资源 数据 库 。 
。 测试 与 评估 : 定期 对 系统 的 安全 机 制 、. 安 全 产品 和 安全 状态 进行 测试 和 评估 ,及 时 
发 现 其 存在 的 安全 脆弱 性 ,并 进行 公正 的 评估 。 测 试 评估 与 安全 检测 是 保障 信息 安 


全 性 的 关键 动态 措施 。 
。 应 急 响 应 : 对 突 发 事件 进行 快速 反应 , 尽 可 能 减少 突 发 事件 对 系统 的 影响 ,保证 系 
统 安 全 的 最 小 资源 集合 可 用 。 


。 恢复: 当 系统 遭受 破坏 时 ,根据 评估 系统 损失 情况 ,在 最 短 时 间 内 恢复 系统 数据 和 
系统 服务 ,使 系统 迅速 恢复 基本 的 服务 并 重建 。 应 急 响应 能 力 和 恢复 能 力 是 信息 系 
统 生存 性 、 抗 毁 性 的 重要 衡量 标准 。 


1.5.4 计算 机 信息 系统 安全 保护 等 级 划分 准则 


公安 部 制定 的 《计算 机 信息 系统 安全 保护 等 级 划分 准则 》( 以 下 简称 《准则 》) ,为 计算 机 
信息 系统 安全 法 规 和 配套 标准 的 制定 和 执法 部 门 的 监督 检查 提供 了 依据 ,为 安全 产品 的 研 
制 提供 了 技术 支持 ,为 安全 系统 的 建设 和 管理 提供 了 技术 指导 ,是 我 国 计 算 机 信息 系统 安全 
保护 等 级 工作 的 基础 。 其 相关 技术 指导 资料 包括 : GA 388 一 2002(《 计 算 机 信息 系统 安全 
等 级 保护 操作 系统 技术 要 求 ))、GA 391 一 2002(《 计 算 机 信息 系统 安全 等 级 保护 管理 要 
求 )) .GA/T 387 一 2002(《 计 算 机 信息 系统 安全 等 级 保护 网 络 技术 要 求 》)) .GA/T 389 一 2002 
《计算 机 信息 系统 安全 等 级 保护 数据 库 管理 系统 技术 要 求 》)) 和 GA/T 390 一 2002(《 计 算 机 
信息 系统 安全 等 级 保护 通用 技术 要 求 》) 等 。 

《准则 》 规 定 了 计算 机 系统 安全 保护 能 力 的 5 个 等 级 , 即 第 一 级 为 用 户 自主 保护 级 ,第 二 
级 为 系统 审计 保护 级 ,第 三 级 为 安全 标记 保护 级 ,第 四 级 为 结构 化 保护 级 ,第 五 级 为 访问 验 
证 保护 级 。 

用 户 自 主 保护 级 是 指 计算 机 信息 系统 可 信 计 算 基 通 过 隔离 用 户 与 数据 ,使 用 户 具备 自 
主 安全 保护 的 能 力 。 它 具有 多 种 形式 的 控制 能 力 ,对 用 户 实施 访问 控制 , 即 为 用 户 提供 可 行 
的 手段 ,保护 用 户 和 用 户 组 信息 ,避免 其 他 用 户 对 数据 的 非法 读 写 与 破坏 。 

与 用 户 自主 保护 级 相 比 ,系统 审计 保护 级 的 可 信 计 算 基 实施 了 粒度 更 细 的 自主 访问 控 
制 。 它 通过 登录 规程 .审计 安全 性 相关 事件 和 隔离 资源 等 手段 ,使 用 户 对 自己 的 行为 负责 。 
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安全 标记 保护 级 中 ,可 信 计 算 基 具有 系统 审计 保护 级 的 所 有 功能 。 此 外 ,还 提供 有 关 安 
全 策略 模型 .数据 标记 以 及 主体 对 客体 强制 访问 控制 的 非 形式 化 描述 ,具有 准确 地 标记 输出 
信息 的 能 力 ,消除 通过 测试 发 现 的 错误 。 

结构 化 保护 级 中 ,可 信 计 算 基 建立 于 一 个 明确 定义 的 形式 化 安全 策略 模型 之 上 ,要 求 将 
第 三 级 系统 中 的 自主 和 强制 访问 控制 扩展 到 所 有 主体 与 客体 。 此 外 ,还 要 考虑 隐蔽 信道 ,可 
信 计 算 基 必须 结构 化 为 关键 保护 元 素 和 非 关键 保护 元 素 , 可 信 计 算 基 的 接口 也 必须 明确 定 
义 ,使 其 设计 与 实现 能 够 经 受 更 充分 的 测试 和 更 完整 的 复审 ,加 强 了 鉴别 机 制 ,支持 系统 管 
理 员 和 操作 员 的 职能 ,提供 可 信 设 施 管理 ,增强 了 配置 管理 控制 ,系统 具有 相当 的 抗 渗透 
能 力 。 

访问 验证 保护 级 中 ,计算 机 信息 系统 的 可 信 计 算 基 TCB 满足 访问 监控 器 需求 ,访问 监 
控 器 仲裁 主体 对 客体 的 全 部 访问 。 访 问 监控 器 本 身 是 抗 自 改 的 ; 必须 足够 小 ,能 够 分 析 和 
测试 ,支持 安全 管理 员 职 能 ,扩充 审计 机 制 , 当 发 生 与 安全 相关 的 事件 时 发 出 信号 ,提供 系统 
恢复 机 制 , 系 统 具 有 很 高 的 抗 渗透 能 力 。 

此 外 ,我 国 还 按照 安全 性 评估 标准 ,对 安全 产品 或 服务 的 安全 性 进行 评估 .评测 和 认证 。 
评估 标准 有 《信息 安全 工程 质量 管理 要 求 》 和 《信息 安全 服务 评估 准则 ) 等 。 


本 章 实验 


1. 网 络 端 口 扫描 
2. 木马 攻击 


思考 题 


. 网 络 安全 服务 .安全 机 制 和 安全 策略 之 间 的 区 别 和 联系 是 什么 ? 
. 设计 并 编程 实现 一 个 端口 扫描 程序 。 

. TCSEC 和 通用 准则 的 主要 区 别 是 什么 ? 

. TCP 会 话 劫持 的 原理 和 实现 过 程 是 怎样 的 ? 
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2.1 密码 学 概述 


密码 学 (cryptography) 是 一 种 将 信息 表述 为 不 可 读 的 方式 ,并 且 使 用 一 种 秘密 的 方法 
将 信息 恢复 出 来 的 科学 。 密 码 学 提供 的 最 基本 的 服务 是 数据 机 密 性 服务 ,就 是 使 通信 者 之 
间 可 以 互相 发 送信 息 , 并 且 避 免 他 人 读 取 信息 的 内 容 。 此 外 ,密码 学 还 可 提供 数据 完整 性 校 
验 和 身份 认证 (鉴别 ) 等 服务 。 

数据 机 密 性 服务 的 过 程 如 图 2. 1 所 示 。 原 始 信息 称 为 明文 (plain text) ,明文 经 过 加 密 
后 形成 密 文 (cipher text) , 密 文 经 过 解密 后 恢复 成 原始 明文 。 


明文 a 密 文 原始 明文 
加 密 解密 “六 一 


图 2.1 数据 机 密 性 服务 的 过 程 


密码 学 包括 两 个 分 支 , 即 密码 编码 学 和 密码 分 析 学 。 前 者 研究 各 种 加 密 方 案 , 称 为 密码 
体制 (cryptosystem) 或 密码 (cipher)。 在 不 知道 加 密 细 节 的 情况 下 解密 消息 密 文 的 技术 属 
于 密码 分 析 学 研究 的 范畴 。 密 码 学 是 对 这 两 门 分 支 进行 综合 分 析 , 系 统 研究 的 科学 ,是 保护 
信息 安全 的 主要 手段 之 一 。 

最 早 的 密码 学 应 用 可 追溯 到 公元 前 2000 年 古 埃及 人 使 用 的 象形 文字 。 这 种 文字 由 复 
杂 的 图 形 组 成 ,其 含义 只 被 为 数 不 多 的 人 掌握 。 而 最 早 将 现代 密码 学 概念 运用 于 实际 的 人 
是 已 撤 大 帝 。 他 不 太 相信 负责 他 和 他 手下 将 领 通信 的 传令 官 ,因此 他 发 明了 一 种 简单 的 加 
密 算法 把 他 的 信件 加 密 。 

第 二 次 世界 大 战 以 后 ,由 于 与 计算 机 技术 的 结合 ,密码 学 的 理论 研究 与 实际 应 用 得 到 了 
飞速 的 发 展 , 随 之 产生 了 许多 新 的 分 支 理 论 ,如 微粒 照片 ,数字 图 片 水 印 技 术 和 其 他 很 多 隐 
藏 被 传递 和 存储 的 信息 的 方法 。 其 中 ,最 常见 的 是 利用 计算 机 将 明文 和 密码 变 成 密 文 和 将 
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密码 和 密 文 变 成 明文 。 
2.1.1 密码 算法 和 密 钥 


如 图 2.2 所 示 ,密码 系统 (cryptography) 由 密码 算法 (cryptographic algorithm) 以 及 所 
有 可 能 的 明文 、 密 文 和 密 钥 (key) 组 成 。 密 码 算法 是 进行 加 密 或 解密 的 数学 函数 。 密 码 算法 
在 通常 情况 下 有 两 个 相关 的 函数 ,一 个 用 来 加 密 ,一 个 用 来 解密 。 密 钥 是 密码 算法 的 输入 参 
数 , 是 一 对 用 来 加 密 和 解密 的 字符 串 。 


加 密 解密 
| 密 钥 密 钥 
加 密 密 文 解密 | 原始 明文 
( 密 钥 算 法 ) ( 密 钥 算法 ) 3 


图 2.2 密码 系统 的 构成 


密码 体制 中 ,如 果 数 据 的 保密 性 基于 密码 算法 的 秘密 性 ,这 种 算法 称 为 受 限制 的 算法 。 
受 限制 的 算法 不 能 进行 质量 控制 或 标准 化 ,每 个 用 户 和 组 织 需 确定 他 们 自己 唯一 的 算法 。 
这 种 受 限制 的 加 密 算法 通常 被 应 用 于 军用 密码 系统 中 。 

现代 的 商用 密码 系统 中 ,加 密 后 数据 的 安全 性 一 般 是 基于 密 钥 的 安全 性 ,而 不 是 基于 算 
法 的 安全 性 , 即 密码 算法 可 以 公开 ,也 可 以 被 分 析 , 只 要 密 钥 不 泄露 ,在 现 有 条 件 和 有 效 时 间 
内 ,加 密 数 据 就 无 法 被 破解 。 


2.1.2 密码 算法 分 类 


密码 算法 有 三 种 : 对 称 密 钥 算法 、 公 开 密 钥 算法 和 哈 希 算法 。 


1， 对 称 密 钥 算法 


对 称 密码 体制 采用 对 称 密 钥 算法 (symmetric algorithm) 实 现 。 对 称 密 钥 算法 又 称 单 密 钥 
算法 ,或 秘密 密 钥 算 法 。 对 称 密 钥 算 法 的 特点 是 加 密 密 钥 能 够 从 解密 密 钥 推 算出 来 ,反之 亦 然 。 

在 大 多 数 对 称 密 钥 算 法 中 ,加 密 和 解密 采用 同一 对 密 钥 。 它 要 求 发 送 者 和 接收 者 在 安 
全 通信 之 前 ,商定 一 个 密 钥 。 对 称 密码 的 安全 性 依赖 于 密 钥 , 密 钥 必 须 保密 。 

对 称 密 钥 算 法 可 以 提供 数据 机 密 性 服务 、 身 份 认证 和 数据 完整 性 服务 。 其 特点 是 加 、 解 
密 速度 快 。 


2. 公开 密 钥 算 法 


公开 密 钥 算法 又 称 双 密 钥 算法 ,或 非 对 称 密 钥 算法 。 在 公 钥 密码 体制 中 ,加 密 和 解密 使 用 
不 同 的 密 钥 : 加 密 密 钥 可 公开 ,. 称 为 公 钥 (public key); 解密 密 钥 需 保 密 , 称 为 私 钥 (private 
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key) 。 即 使 用 二 公 钥 , 私 钥 之 对 信息 进行 加 密 解 密 , 使 用 公 钥 加 密 , 私 钥 解 密 。 任 何人 均 可 知 
晓 公 钥 并 可 以 利用 公 钥 加 密 信 息 , 但 只 有 使 用 相应 的 私 钥 才能 解密 由 该 公 钥 加 密 的 信息 。 

公开 密码 体制 对 密码 算法 的 要 求 是 由 公 钥 不 能 推导 出 私 钥 ,并 且 从 一 段 明 文 和 相应 的 
密 文 中 难以 破解 私 铀 。 公 钥 算 法 较 对 称 密 钥 算 法 的 优势 是 它 克服 了 分 发 密 钥 带 来 的 不 安全 
性 。 其 缺点 是 加 、 解 密 速 度 相对 于 对 称 密 钥 算法 要 慢 。 

公 钥 密码 体制 的 基础 是 单 向 陷 门 函数 (trapdoor one-way function) ,其 特性 是 : 除非 知 
道 某 种 附加 的 信息 ,和 否则 这 样 的 函数 在 一 个 方向 上 容易 计算 ,而 在 相反 的 方向 上 计算 不 可 
行 。 这 种 附加 信息 就 是 私 钥 , 即 除非 知道 私 钥 , 和 否则 只 能 加 密 , 解 密 非 常 困 难 。 

wang 身份 认证 和 数字 签名 服务 。 

面 给 出 利用 公 钥 密码 进行 安全 通信 的 过 程 示例 。 

Alice 和 Bob 选用 一 个 公 钥 密码 系统 。 

@ 系统 为 Bob 生成 一 对 密 钥 二 E,D>, 其 中 下 为 Bob 的 公 钥 ,D 为 对 应 的 私 钥 。 

@ Bob 将 他 的 公 钥 下 传递 给 Alice。 

@ Alice 使 用 Bob 的 公 钥 下 加 密 消息 ,然后 将 加 密 的 消息 传递 给 Bob。 

@ Bob 使 用 他 的 私 钥 D 解密 Alice 的 消息 。 


3. 哈 希 算法 


哈 希 Chash) 算 法 又 称 消 息 摘要 (message digest) 函数 .杂凑 算法 , 单 向 散 列 函数 ,其 特性 
是 可 以 由 任意 长 的 消息 计算 出 一 个 定 长 的 字符 串 。 该 字符 串 称 为 “ 哈 希 ”“ 散 列 值 ” 或 “消息 
摘要 ”。 设 喻 希 函 数 为 h() ,消息 m 的 哈 希 为 h(m) ,该 算法 具有 以 下 特点 : 
。 有 0 能 用 于 任意 大 小 的 分 组 。 
。 了 (0) 能 产生 定 长 的 输出 。 
。 对 于 任何 给 定 的 消息 mx,h(m) 要 容易 计算 ,使 得 硬件 和 软件 的 实现 成 为 实际 可 能 。 
。 对 于 任何 给 定 的 散 列 值 x, 寻 找 m, 使 得 hm) 二 zx, 这 在 计算 上 不 可 行 。 即 哈 希 函数 
具有 单 向 性 ,无 法 从 消息 的 散 列 值 中 恢复 出 原 消息 。 
。 对 于 任何 给 定 的 分 组 x, 寻找 不 等 于 x 的 分 组 y ,使 得 h(x) 二 h(y), 这 在 计算 上 不 可 
行 。 即 哈 希 函数 具有 弱 抗 冲突 性 ,难以 找到 两 个 相等 的 消息 ,其 散 列 值 相 同 。 
。 寻找 任何 一 对 (z,y) ,使 得 h(xr) 二 h(y), 这 在 计算 上 不 可 行 。 即 哈 希 函数 具有 了 强 抗 
冲突 性 。 
哈 希 函数 的 这 些 特性 使 得 其 可 被 广泛 应 用 于 密码 系统 、 消 息 完 整 性 服务 .消息 指纹 以 及 
数字 签名 中 。 
在 密码 系统 中 ,可 以 将 密码 经 过 哈 希 函数 计算 得 到 密码 的 哈 希 值 ,保存 在 系统 中 ,然后 
对 于 用 户 输入 的 密码 再 次 计算 其 哈 希 值 , 通 过 比较 这 两 个 哈 希 值 可 以 判断 用 户 输入 的 密码 
是 否 正确 。 由 于 哈 希 函数 具有 单 向 性 ,攻击 者 即使 获得 了 密码 的 哈 希 值 , 也 难以 破解 密码 。 
由 于 哈 希 函数 具有 弱 抗 冲突 性 ,消息 的 一 位 发 生变 化 会 导致 其 散 列 值 发 生变 化 ,因此 哈 
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和 希 函 数 可 用 于 消息 完整 性 服务 ,用 来 防止 消息 在 传输 过 程 中 被 算 改 。 例 如 可 被 用 于 数字 签 
名 和 产生 消息 指纹 。 

数字 签名 的 应 用 将 在 下 一 章 详 细 讨 论 , 下 面 给 出 消息 指纹 的 应 用 示例 。 在 一 个 应 用 系 
统 中 ,如 果 要 知道 某 些 大 型 数据 (或 程序 ) 每 天 是 否 被 修改 ,可 以 定时 保存 这 些 数据 的 一 个 副 
本 ,然后 把 它 和 当前 的 副本 进行 比较 。 这 个 副本 可 以 是 该 数据 的 哈 希 值 , 哈 希 值 是 定 长 的 ， 
因此 可 以 大 大 减少 所 需 的 存储 空间 。 如 果 哈 希 值 没有 改变 , 则 可 以 判断 数据 没有 被 修改 。 


2.1.3 密码 分 析 与 计算 复杂 性 


密码 分 析 是 在 不 知道 密 钥 的 情况 下 ,恢复 出 明文 的 科学 ,密码 分 析 可 以 发 现 密码 体制 的 
弱点 。 针 对 密码 算法 的 攻击 包括 唯 密 文 攻击 \ 已 知 明文 攻击 和 选择 明文 攻击 三 种 基本 形式 。 

(1) 唯 密 文 攻击 (ciphertext-only attack) 

密码 分 析 者 拥有 一 些 密 文 ,并 试图 通过 分 析 密 文 破译 密码 。 有 多 种 方法 可 以 在 获得 密 
文 的 情况 下 破解 出 明文 。 例 如 : 攻击 者 可 以 搜索 所 有 可 能 的 密 钥 , 然 后 使 用 每 个 密 钥 逐个 
对 密 文 进行 解密 。 前 提 之 一 是 攻击 者 能 够 区 分 正确 的 明文 和 错误 的 解密 结果 ,因此 这 种 攻 
击 方法 也 称 为 可 识别 明文 攻击 。 此 外 ,攻击 者 还 必须 获得 足够 多 的 密 文 ,如 果 密 文 的 数量 不 
足 , 则 不 足以 从 中 恢复 出 明文 。 

(2) 已 知 明文 攻击 (known-plaintext attack) 

密码 分 析 者 不 仅 可 以 得 到 一 些 消息 的 密 文 , 而 且 也 知道 这 些 消息 的 明文 。 在 这 种 攻击 
中 ,攻击 者 获得 了 明文 以 及 与 之 对 应 的 密 文 。 从 这 些 已 知 明文 中 ,攻击 者 可 以 获得 一 些 常用 
的 字母 的 替换 关系 。 有 些 密码 算法 对 于 唯 密 文 攻击 是 安全 的 ,但 并 不 能 有 效 抵抗 已 知 明文 
攻击 。 这 种 情况 下 ,如 果 密 码 系统 中 使 用 了 这 类 算法 , 则 应 尽量 减少 攻击 者 获得 (明文 , 密 
文 ) 的 可 能 。 

(3) 选择 明文 攻击 (chosen-plaintext attack) 

某 些 情形 下 ,攻击 者 可 以 选择 任意 的 明文 输入 到 密码 系统 中 并 获得 该 明文 对 应 的 密 文 。 
这 种 攻击 成 为 选择 明文 攻击 。 

某 些 能 够 抵抗 唯 密 文 攻击 和 已 知 明文 攻击 的 密码 算法 可 能 无 法 抵抗 选择 明文 攻击 。 例 
如 ,如 果 攻 击 者 知道 系统 的 明文 是 有 限 的 序列 {Tl1,T2,….Tn}) 中 的 某 个 值 , 则 攻击 者 只 需 
要 把 每 个 可 能 的 明文 输入 系统 ,获取 对 应 的 密 文 ,再 对 照 该 有 限 明文 序列 ,就 可 以 从 密 文中 
推算 出 其 对 应 的 明文 。 

在 有 效 的 时 间 内 ,密码 系统 必须 能 够 抵抗 上 述 三 种 攻击 ,这 样 的 密码 算法 和 密码 体制 才 
被 认为 是 安全 的 。 

在 密码 体制 中 ,没有 绝对 安全 的 密码 技术 。 如 果 具 有 无 限 计 算 资源 的 密码 分 析 者 无 法 
破解 该 密码 ,这 样 的 密码 系统 被 认为 具有 理论 安全 性 (无 条 件 安全 性 )。 然 而 实际 上 密码 体 
制 都 不 是 绝对 安全 的 ,只 是 有 些 密码 算法 加 密 的 密 文 在 现 有 条 件 下 不 可 破解 。 


2.2 对称 密 钥 算 法 


2.2.1 DES 
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数据 加 密 标 准 (data encryption standard, DES), 是 由 IBM 公司 研制 的 一 种 加 密 算 法 ， 
美国 国家 标准 局 于 1977 年 宣布 把 它 作为 非 机 要 部 门 使 用 的 数据 加 密 标准 。DES 是 一 个 分 
组 加 密 算法 ,以 64 位 为 分 组 对 数据 加 密 。 同 时 DES 也 是 一 个 对 称 密 钥 算法 : 加 密 和 解密 


用 的 是 同一 个 密 钥 。 它 的 密 匙 长 度 是 56 位 (每 个 
第 8 位 都 用 作 奇 偶 校 验 ) , 密 匙 可 以 是 任意 的 56 
位 的 数 ,而 且 可 以 在 任意 时 候 改变 。 其 中 有 极 少 
量 的 数 被 认为 是 弱 密 匙 ,但 是 很 容易 避 开 它们 。 
所 以 保密 性 依赖 于 密 钥 。 

如 图 2. 3 所 示 ,DES 对 64 位 的 明文 分 组 M 
进行 操作 , M 经 过 一 个 初始 置换 IP (Cinitial 
permutation) 置换 成 mo ,将 mx。 明 文 分 成 左 半 部 分 
和 右 半 部 分 , 即 mo = 二 (Lo ,Ro), 各 32 位 长 。 然 后 
进行 16 轮 完 全 相同 的 运算 ,这 些 运 算 被 称 为 函数 
f, 在 运算 过 程 中 数据 与 密 匙 结合 。 经 过 16 轮 后 ， 
左右 半 部 分 合 在 一 起 经 过 一 个 末 置 换 。 

在 每 一 轮 中 , 密 匙 位 移 位 ,然后 再 从 密 匙 的 
56 位 中 选 出 48 位 。 通 过 一 个 扩展 置换 将 数据 的 
右 半 部 分 扩展 成 48 位 ,并 通过 一 个 异 或 操作 替代 
成 新 的 32 位 数据 ,再 将 其 置换 一 次 。 这 4 步 运算 
构成 了 函数 f。 然 后 ,通过 另 一 个 异 或 运算 ,函数 ff 
的 输出 与 左 半 部 分 结合 ,其 结果 成 为 新 的 右 半 部 
分 ,原来 的 右 半 部 分 成 为 新 的 左 半 部 分 。 将 该 操 
作 重复 16 次 ,就 实现 了 加 密 过 程 。 


明文 
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Li=Ro 


RI=Lo@f (Ro,K1) 
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经 过 16 轮 相同 运算 
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Rie=L1s BARIs,K1e) LieRis 


图 2.3 DES 加 密 算法 


经 过 精心 选择 的 各 种 操作 ,DES 获得 了 一 个 非常 有 用 的 性 质 : 加 密 和 解密 使 用 相同 的 
算法 。DES 加 密 和 人 解密 唯一 的 不 同 是 密 匙 的 次 序 相反 。 如 果 各 轮 加 密 密 匙 分 别 是 Ki , K;， 


K;,… ,Ki 那么 解密 密 匙 就 是 Kie ,Kis ,Kyu,*… ,Ki。 


DES 具有 如 下 几 种 工作 模式 。 


(1) 电子 密 本 模式 (electronic codebook,ECB) 


将 明文 分 成 nn 个 64 位 的 分 组 ,如 果 明 文 长度 不 是 64 位 的 倍数 , 则 在 明文 末尾 填充 适当 
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数目 的 规定 符号 。 对 明文 组 用 给 定 的 密 钥 分 别 进行 加 密 , 青 将 密 文 组 按 顺序 连接 起 来 就 可 
以 获得 密 文 。 

(2) 密 文 分 组 链接 模式 (cipher block chaining,CBC) 

在 CBC 模式 下 ,每 个 明文 组 在 加 密 之 前 先 与 前 一 个 密 文 组 按 位 模 2 求 和 后 ,再 对 结果 
运用 DES 加 密 。 对 于 第 一 个 明文 组 ,由 于 还 没有 反馈 密 文 , 需 预 置 一 个 初始 向 量 IV 
(initialization vector) 。CBC 模式 通过 反馈 使 输出 密 文 与 以 前 的 各 明文 相关 ,从 而 实现 隐蔽 
明文 的 目的 ,但 同时 也 可 能 引起 错误 传播 的 发 生 。 

(3) 密 文 反馈 模式 (cipher feedback .CFB) 

CFB 模式 将 DES 作为 一 个 流 密码 产生 器 。 首 先 , 将 移 位 寄存 器 的 最 右边 64 位 送 到 
DES 进行 加 密 , 再 将 加 密 结果 的 最 左边 n 位 与 n 位 明文 分 组 作 异 或 运算 得 到 密 文 分 组 。 随 
后 ,将 得 到 的 密 文 分 组 送 到 移 位 寄存 器 的 最 右 端 ,其 他 位 向 左 移 n 位 ,最 左 端 n 位 丢弃 。 然 
后 继续 下 一 分 组 的 运算 。 对 第 一 个 分 组 同样 需要 预 置 初始 向 量 。CFB 是 基于 密 文 反馈 的 ， 
对 信道 错误 较 敏感 ,也 可 能 造成 错误 传播 。 

(4) 输出 反馈 模式 (output feedback,OFB) 

OFB 模式 也 将 DES 作为 密 文 流产 生 器 ,不 同 的 是 它 将 输出 的 位 密 钥 直接 反馈 至 移 
位 寄存 器 , 即 DES 的 输入 端 。 


2.2.2 3DES 


3DES(triple DES) 是 DES 向 高 级 加 密 标准 (advanced encryption standard, AES) 过 渡 
的 一 种 加 密 算法 (1999 年 ,NIST 将 3DES 指定 为 过 渡 的 加 密 标准 ) ,是 DES 的 一 个 更 安全 
的 变形 。 它 以 DES 为 基本 模块 ,通过 组 合 分 组 方法 设计 出 分 组 加 密 算 法 ,其 具体 实现 如 下 : 
设 Eo 和 Dio 代表 DES 算法 的 加 密 和 解密 过 程 ,K 代表 DES 算法 使 用 的 密 钥 ,M 代表 明 
文 ,C 代表 密 文 , 则 3DES 加 密 .解密 过 程 为 
加 密 : C = Es (Di (En (MD))) 
解密 : M = Du (Ei (Ds (C))) 
Kl、K2、K3 决定 了 算法 的 安全 性 ,车 三 个 密 钥 互 不 相同 ,本 质 上 就 相当 于 使 用 一 个 长 
度 为 168 位 的 密 钥 进行 加 密 。 多 年 来 , 它 在 对 付 强力 攻击 时 是 比较 安全 的 。 若 数据 对 安全 
性 要 求 不 那么 高 ,或 者 要 与 原来 的 DES 保持 兼容 , 则 可 以 选择 K1 二 K2 或 者 K2 一 K3。 


2.2.3 其 他 对 称 密 钥 算 法 


1. IDEA 算法 
IDEA(international data encryption algorithm) 即 国际 数据 加 密 算 法 , 它 的 原型 是 PES 
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(proposed encryption standard) 。 对 PES 改进 后 的 新 算法 称 为 IPES, 并 于 1992 年 改名 为 
IDEA。 

IDEA 是 一 个 分 组 长 度 为 64 位 的 分 组 密码 算法 , 密 钥 长 度 为 128 位 ,同一 个 算法 即 可 
用 于 加 密 , 也 可 用 于 解密 。 

IDEA 的 加 密 过 程 包括 两 部 分 : 

@ 输入 的 64 位 明文 组 分 成 4 个 16 位 子 分 组 。4 个 子 分 组 作为 算法 第 一 轮 的 输入 , 共 
进行 8 轮 的 迭代 运算 ,产生 64 位 的 密 文 输出 。 

@ 输入 的 128 位 会 话 密 钥 产生 8 轮 迭 代 所 需 的 52 个 子 密 钥 (8 轮 运算 中 每 轮 需要 6 
个 ,还 有 4 个 用 于 输出 变换 )。 

IDEA 的 解密 过 程 和 加 密 过 程 相 同 ,只 是 对 子 密 钥 的 要 求 不 同 。 


2. Blowfish 算法 


Blowfish 是 Bruce Schneier 设计 的 ,可 以 免费 使 用 。 

Blowfish 是 一 个 16 轮 的 分 组 密码 ,明文 分 组 长 度 为 64 位 ,使 用 变 长 密 钥 (从 32 位 到 
448 位 )。Blowfish 算法 由 两 部 分 组 成 : 密 钥 扩展 和 数据 加 密 。 

密 钥 扩展 将 密 钥 转变 成 18 个 32 位 的 子 密 钥 ,总 共 需 要 521 次 迭代 来 产生 所 需 的 全 部 
子 密 钥 。 可 以 将 此 扩展 密 钥 存储 而 无 须 每 次 重复 计算 。 

数据 加 密 共 进 行 16 轮 的 迭代 。 解 密 过 程 与 加 密 过 程 完全 一 样 ,只 是 密 钥 以 逆序 使 用 。 


3. GOST 算法 

GOST 是 前 苏联 设计 的 分 组 密码 算法 ,为 前 苏联 国家 标准 局 所 采用 。 

GOST 的 消息 分 组 为 64 位 , 密 钥 长 度 为 256 位 ,采用 32 轮 迭 代 。 加 密 时 ,首先 将 输 
入 的 64 位 明文 分 成 左 半 部 分 L 和 右 半 部 分 R, 设 第 i 轮 的 子 密 钥 为 K;, 则 GOST 的 第 i 
轮 为 

有 
R; = Li 四 FOR Ki) 

首先 右 半 部 分 与 第 i 轮 的 子 密 钥 进行 模 2* 加 和 ,其 结果 分 成 8 个 4 位 分 组 ,每 个 分 组 
输入 不 同 的 S 盒 。S 盒 将 输入 的 数字 进行 置换 。 然 后 将 8 个 S 盒 的 输出 重组 成 32 位 字 ; 接 
下 来 将 32 位 循环 左 移 11 位 后 与 上 一 轮 的 左 半 部 分 进行 异 或 运算 得 到 本 轮 运算 结果 的 右 半 
部 分 ,而 原 右 半 部 分 作为 本 轮 运 算 结 果 的 左 半 部 分 。 至 此 ,一 轮 运 算 结 束 , 开 始 下 一 轮 运 算 。 

GOST 子 密 钥 产生 的 过 程 很 简单 ,256 位 密 钥 被 划分 为 8 个 32 位 分 组 ,各 轮 采 用 不 同 
的 子 密 钥 。 解 密 时 , 子 密 钥 采用 相反 的 顺序 。 

GOST 的 设计 者 打算 在 有 效 性 和 安全 性 之 间 达 到 平衡 ,他 们 修改 了 DES 的 基本 设计 以 
便 产 生 一 个 更 适宜 于 软件 实现 的 算法 ,并 通过 增 大 密 钥 长 度 、 对 S 盒 保密 、 增 加 加 密 轮 数 来 
增强 其 安全 性 。 
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4. RCS 算法 


RC5 分 组 密码 算法 是 1994 年 由 Ronald L. Rivest 发 明 的 ,并 由 RSA 实验 室 分 析 。 它 
是 参数 可 变 的 分 组 密码 算法 ,三 个 可 变 的 参数 是 分 组 长 度 、. 密 钥 长 度 和 加 密 和 迭代 轮 数 。RC5 
算法 包括 三 部 分 : 密 钥 扩展 .加 密 算法 和 解密 算法 。 

Rivest 设计 了 RC5 的 一 种 特殊 的 实现 方式 ,RC5 算法 有 一 个 面向 字 的 结构 ; RC5-w/r/b， 
这 里 w 是 字 长 ,其 值 可 以 是 16、32 或 64, 对 于 不 同 的 字 长 ,明文 和 密 文 块 的 分 组 长 度 为 2w 
位 ,r 是 加 密 轮 数 ,b 是 密 钥 字 节 长 度 。 

要 创建 密 钥 组 ,RC5 算法 加 密 时 将 密 钥 字 节 复制 到 32 位 字 的 数组 中 ,如 果 需 要 ,最 
后 一 个 字 可 以 用 零 填充 。 然 后 利用 线性 同 余 发 生 器 模 2 初始 化 数组 S, 然 后 将 构造 字 阵 
L 与 S$ 混合。 在 创建 完 密 钥 组 后 开始 进行 对 明文 的 加 密 , 加 密 时 , 先 将 明文 分 组 划分 为 两 
个 32 位 字 : A 和 B( 在 假设 处 理 器 字 节 顺序 是 little-endian、w= 二 32 的 情况 下 ,第 一 个 明文 
字 节 放 入 A 的 最 低位 ,第 四 个 明文 字 节 放 入 A 的 最 高 位 ,第 五 个 明文 字 节 放 入 B 的 最 低 
位 ,以 此 类 推 ,最 后 一 个 字 节 放 入 B 的 最 高 位 ) ,输出 的 密 文 是 在 寄存 器 A 和 B 中 的 内 容 。 
解密 也 是 把 密 文 分 组 划分 为 两 个 字 : A 和 B( 存 储 方式 和 加 密 一 样 ) ,进行 加 密 运 算 的 逆 

RSA 试验 室 花费 了 相当 长 的 时 间 来 分 析 64 位 分 组 的 RC5 算法 ,在 5 轮 后 统计 特性 看 
起 来 非常 好 ,在 8 轮 后 ,每 一 个 明文 位 至 少 影响 一 个 循环 ,对 于 15 轮 或 以 上 的 RC5 的 差分 
攻击 是 失败 的 。 在 6 轮 后 线性 分 析 就 是 安全 的 了 。 所 以 Rivest 推荐 至 少 12 轮 。 


2.3 ” 公 钥 算法 


2.3.1 RSA 


RSA 是 第 一 个 既 能 用 于 数据 加 密 也 能 用 于 数字 签名 的 算法 。 它 易于 理解 和 操作 ,也 很 
流行 。 算 法 的 名 字 以 发 明 者 的 名 字 命 名 : Ron Rivest, AdiShamir 和 Leonard Adleman。 
RSA 是 被 研究 得 最 广泛 的 公 钥 算法 ,经 历 了 各 种 攻击 的 考验 ,逐渐 为 人 们 接受 ,并 且 被 普遍 
认为 是 最 优秀 的 公 钥 方案 之 一 。 

RSA 算法 描述 如 下 。 

@ 选取 两 个 大 素数 p 和 g (保密 ) 。 

@ 计算 n= 二 pg( 公 开 ),$(n) 二 (p 一 1)(g 一 1) (保密 )。 

@ 随机 选取 正 整 数 e,1 二 e 二 $(n) ,满足 gcd(e,$(n)) 二 1,e 是 公开 的 加 密 密 钥 。 

@ 计算 a ,满足 de 三 1(modg(n)).d 是 保密 的 解密 密 钥 。 

@ 加 密 变换 : 对 明文 mE Z, , 密 文 为 
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c=nmodn 
@ 解密 变换 : 对 密 文 cE QZ ,明文 为 
m= cmodn 
RSA 公 钥 密码 体制 的 安全 性 是 基于 大 整数 的 素数 分 解 问题 的 难 解 性 。 

从 下 面 的 讨论 可 以 看 出 ,破译 RSA 的 方法 至 少 和 因子 分 解 问题 一 样 困难 。 

如 果 密 码 分 析 者 能 够 分 解 n 的 因子 p 和 4g ,就 可 以 容易 地 求 出 $(n) 和 人 解密 密 钥 d, 从 而 
破译 RSA。 因 此 ,破译 RSA 不 可 能 比 因子 分 解 问题 更 困难 。 

如 果 密 码 分 析 者 能 够 不 对 进行 因子 分 解 而 求 得 $n) , 则 可 以 根据 

de 三 1(modg(n)) 
求 得 解密 密 钥 4d, 从 而 破译 RSA。 因 为 
pi+q=n—$(n)+l1 
p—g= Vp+q) — dn 

所 以 知道 $(n) 和 就 可 以 很 容易 地 求 得 p 和 9g ,从 而 成 功 地 分 解 n。 因 此 ,不 对 进行 
因子 分 解 而 直接 计算 4(n) 并 不 比 对 n 进行 因子 分 解 更 容易 。 

如 果 密 码 分 析 者 能 够 既 不 对 n 进行 因子 分 解 也 不 求 $(n) 而 直接 求 得 解密 密 钥 4d, 则 他 
就 可 以 计算 ed 一 1,ed 一 1 是 $(n) 的 倍数 。 而 利用 $(n) 的 倍数 可 以 容易 地 分 解 出 n 的 因子 。 
因此 ,直接 计算 解密 密 钥 d 并 不 比 对 进行 因子 分 解 更 容易 。 

为 保证 RSA 的 安全 性 ,在 实际 应 用 中 选取 的 素数 p 和 g 应 足够 大 ,n 的 长 度 在 1024 位 
至 2048 位 是 比较 合理 的 。 此 外 ,为 避免 选取 容易 分 解 的 整数 ,研究 人 员 建 议 对 p 和 g 采 
取 如 下 限制 ; 

Q@ p 和 g 的 长 度 应 该 相差 不 多 。 

@ p 一 1 和 g 一 1 都 应 该 包含 大 的 素 因 子 。 

@ gcd(p 一 1,g 一 1) 应 该 很 小 。 


2.3.2 Diffie-Hellman 


D-H(Diffie-Hellman) 是 由 Whitfield Diffie 和 Martin Hellman 在 1976 年 公布 的 一 种 
密 钥 一 致 性 算法 。Diffie-Hellman 是 一 种 建立 密 钥 的 方法 ,而 不 是 加 密 方法 。 然 而 , 它 所 产 
生 的 密 钥 可 用 于 加 密 、 进 一 步 的 密 钥 管理 或 任何 其 他 的 加 密 方式 。 

由 于 该 算法 本 身 限 于 密 钥 交换 的 用 途 ,被 许多 商用 产品 用 作 密 钥 交 换 技 术 ,因此 该 算法 
通常 称 之 为 Diffie-Hellman 密 钥 交 换 。 这 种 密 钥 交换 技术 的 目的 在 于 使 得 两 个 用 户 安全 地 
交换 一 个 秘密 密 钥 以 便 用 于 以 后 的 报 文 加 密 。 

Diffie-Hellman 密 钥 交换 算法 的 有 效 性 依赖 于 计算 离散 对 数 的 难度 。 

可 以 如 下 定义 离散 对 数 : 首先 定义 一 个 素数 户 的 原 根 , 为 其 各 次 宕 产生 从 1 到 一 1 的 
所 有 整数 根 , 也 就 是 说 ,如 果 a 是 素数 p 的 一 个 原 根 ,那么 数值 a mod p,a? mod p,…， 
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ae mod p 是 各 不 相同 的 整数 ,并 且 以 某 种 排列 方式 组 成 了 从 1 到 p 一 1 的 所 有 整数 。 对 
于 一 个 整数 5b 和 素数 p 的 一 个 原 根 a ,可 以 找到 唯一 的 指数 i, 使 得 4 二 a' mod p, 其 中 0 三 
i 三 (p 一 1) ,指数 i 称 为 5 的 以 a 为 基数 的 模 p 的 离散 对 数 。 
Diffie-Hellman 密 钥 交 换算 法 描述 如 下 。 
Q@ 有 两 个 全 局 公开 的 参数 ,一 个 素数 p 和 一 个 整数 a ,a 是 p 的 一 个 原 根 。 
@ 假设 用 户 A 和 B 希 望 交换 一 个 密 钥 ,用 户 A 秘密 产生 一 个 随机 数 Xa, 计算 YA 一 
aXa mod p, 然 后 将 Ys 发 送 给 用 户 B。 同 样 , 用 户 B 秘密 产生 一 个 随机 数 Xs ,计算 Ys 二 
axamod p ,然后 将 Ys 发 送 给 用 户 A。 
@ 用 户 A 产生 共享 秘密 密 钥 的 计算 方式 是 K 二 (Ys)*s mod g。 同 样 ,用 户 B 产生 共享 
秘密 密 钥 的 计算 是 KK 二 (Ys)*emod g。 这 两 个 计算 产生 相同 的 结果 
K= (Ys)*smod g = (a*emod q)xamod dg 
= (axe)xAmodd = a*s*s mod g 
= (a*s)*emodg = (a*smod g)*smodg 
= (Ya)*»modg 
因此 相当 于 双方 已 经 交换 了 一 个 相同 的 秘密 密 钥 。 
因为 XA 和 Xs 是 保密 的 ,攻击 者 可 以 利用 的 参数 只 有 dg,a,YA 和 Ys。 因 而 攻击 者 只 能 
通过 取 离 散 对 数 来 确定 密 钥 。 
Diffie-Hellman 密 钥 交换 算法 的 安全 性 依赖 于 这 样 一 个 事实 : 虽然 计算 以 一 个 素数 为 
模 的 指数 相对 容易 ,但 计算 离散 对 数 却 很 困难 。 对 于 大 的 素数 ,计算 出 离散 对 数 几乎 是 不 可 
能 的 。 
然而 ,Diffie-Hellman 密 钥 交换 容易 受到 中 间 人 攻击 ,利用 数字 签名 可 以 抵御 中 间 人 攻 
击 。Diffie-Hellman 密 钥 交换 也 可 以 扩展 到 三 方 或 多 方 的 密 钥 交 换 。 


2.4 哈 希 算 法 


2.4.1 MDS 


消息 摘要 函数 MD5 (message-digest algorithm 5) 在 20 世纪 90 年 代 初 由 Ronald L. 
Rivest 开发 ,经 MD2、MD3 和 MD4 发 展 而 来 。 它 的 作用 是 让 大 容量 信息 在 用 数字 签名 软 
件 签署 私人 密 匙 前 被 “压缩 ?成 一 种 保密 的 格式 (就 是 把 一 个 任意 长 度 的 字 节 串 变 换 成 一 定 
长 的 大 整数 ) 。 

Rivest 在 1989 年 开发 出 MD2 算法 。 在 这 个 算法 中 ,首先 对 信息 进行 数据 补 位 ,使 信息 
的 字 节 长 度 是 16 的 倍数 。 然 后 ,以 一 个 16 位 的 检验 追加 到 信息 末尾 ,并 且 根据 这 个 新 产生 
的 信息 计算 出 散 列 值 。 后 来 发 现 如 果 忽略 了 检验 和 将 产生 MD2 冲突 。 
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为 了 加 强 算法 的 安全 性 ,Rivest 在 1990 年 又 开发 出 MD4 算法 。MD4 算法 同样 需要 填 
补 信 息 以 确保 信息 的 字 节 长 度 加 上 448 后 能 被 512 整除 。 然 后 ,添加 一 个 以 64 位 二 进 制 表 
示 的 消息 长 度 信息 。 信 息 被 处 理 成 512 位 迭代 结构 的 区 块 ,每 个 区 块 要 通过 三 个 不 同步 又 
的 处 理 。Den Boer 和 Bosselaers 以 及 其 他 人 很 快 地 发 现 了 攻击 MD4 版 本 中 第 一 步 和 第 三 
步 的 漏洞 。 于 是 MD4 就 此 被 淘汰 。 尽 管 MD4 算法 在 安全 上 有 很 大 的 漏洞 ,但 它 对 其 后 开 
发 出 来 的 几 种 信息 安全 加 密 算法 却 有 着 不 可 忽视 的 引导 作用 。 除 了 MD5 以 外 ,其 中 比较 
有 名 的 还 有 sha-l .ripermd 和 haval 等 。 

一 年 以 后 , 即 1991 年 ,Rivest 开发 出 技术 上 更 趋 近 成 熟 的 MD5 算法 。 它 在 MD4 的 基 
础 上 增加 了 “安全 一 带子 ”(safety-belts) 的 概念 。 虽 然 MD5 比 MD4 稍微 慢 一 些 ,但 却 更 加 
安全 。 这 个 算法 很 明显 的 由 4 个 和 MD4 设计 有 少许 不 同 的 步骤 组 成 。 在 MD5 算法 中 , 消 
息 摘 要 的 大 小 和 填充 的 必要 条 件 与 MD4 完全 相同 。 

MD5 的 典型 应 用 是 对 一 段 消息 (message) 产 生 消息 摘要 (message-digest) ,以 防止 被 自 
改 。 比 如 ,在 Unix 下 有 很 多 软件 在 下 载 的 时 候 都 有 一 个 文件 名 相同 ,文件 扩展 名 为 . MD5 
的 文件 ,在 这 个 文件 中 通常 只 有 一 行文 本 ,大 致 结构 如 : 

MD5 (example. tar. gz) = 0cal75b9c0f726a831d895e269332461 

这 就 是 example. tar. gz 文件 的 数字 签名 。MD5 将 整个 文件 当 作 一 个 大 文本 信息 ,通过 
其 不 可 逆 的 字符 串 变换 算法 ,产生 了 这 个 文件 对 应 的 唯一 的 MD5 消息 摘要 。 如 果 在 以 后 
传播 这 个 文件 的 过 程 中 ,无 论文 件 的 内 容 发 生 了 任何 形式 的 改变 (包括 人 为 修改 或 者 下 载 过 
程 中 线路 不 稳定 引起 的 传输 错误 等 ), 只 要 对 这 个 文件 重新 计算 MD5 时 就 会 发 现 消息 摘要 
不 相同 ,由 此 可 以 确定 得 到 的 只 是 一 个 不 正确 的 文件 。 如 果 再 有 一 个 第 三 方 的 认证 机 构 ,使 
用 MD5 还 可 以 防止 文件 作者 的 “抵赖 ”, 这 就 是 所 谓 的 数字 签名 应 用 。 

MD5 还 被 广泛 用 于 加 密 和 解密 技术 上 。 比 如 在 Unix 系统 中 用 户 的 密码 就 是 以 MD5 
(或 其 他 类 似 的 算法 ) 经 加 密 后 存储 在 文件 系统 中 的 。 当 用 户 登录 的 时 候 , 系 统 把 用 户 输入 
的 密码 计算 成 MD5 值 ,然后 再 去 和 保存 在 文件 系统 中 的 MD5 值 进 行 比较 ,进而 确定 输入 
的 密码 是 否 正确 。 通 过 这 样 的 步骤 ,系统 在 并 不 知道 用 户 密码 的 情况 下 就 可 以 确定 用 户 登 
录 系 统 的 合法 性 。 这 不 但 可 以 避免 用 户 的 密码 被 具有 系统 管理 员 权 限 的 用 户 知道 ,而 且 还 
在 一 定 程度 上 增加 了 密码 被 破解 的 难度 。 

对 MD5 算法 简要 的 描述 如 下 。 

首先 填充 消息 , 先 填充 一 位 1, 再 填充 一 定数 量 的 0, 使 其 长 度 为 一 个 比 512 的 倍数 小 
64 位 的 数 。 然 后 将 原 消息 长 度 的 64 位 附加 在 填充 后 的 消息 之 后 。 初 始 化 用 于 计算 消息 摘 
要 的 128 位 缓冲 区 ,这 个 缓冲 区 由 4 个 32 位 寄存 器 组 成 。 按 512 位 的 分 组 处 理 输入 消息 ， 
每 个 循环 包括 4 轮 , 每 一 轮 进行 16 次 操作 。 以 下 是 每 次 操作 中 用 到 的 4 个 非 线性 函数 (每 
办 二 个》 


BCXSY 2) = (REY | EZ) 
G(X Ys 2) = KEZY | (FEC ZY 
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Eb. 0 A Bh, i da 4 
天 二 也) 
其 中 ,& 表示 “与 ”, | 表示 “或 ”~ 表示 “ 非 ”,^ 表 示 “ 异 或 ”。 
最 后 ,由 4 个 寄存 器 的 输出 按 低位 字 节 在 前 的 顺序 得 到 128 位 的 消息 摘要 。 


2.4.2 SHA 


SHA(secure hash algorithm ,安全 散 列 算法 ) 是 美国 国家 安全 局 (NSA) 设计 ,美国 国家 
标准 与 技术 研究 院 (NIST) 发 布 的 一 系列 密码 散 列 函数 。 

最 初 发 明 的 算法 于 1993 年 发 布 , 称 为 安全 散 列 标准 (secure Hash standard),FIPS 
PUB 180。 这 个 版 本 现在 常 被 称 为 SHA-0。 它 在 发 布 之 后 很 快 就 被 NSA 撤回 ,并 且 以 
1995 年 发 布 的 修订 版 本 FIPS PUB 180-1( 通 常 称 为 SHA-1) 取代 。 根 据 NSA 的 说 法 , 它 
修正 了 一 个 在 原始 算法 中 会 降低 密码 安全 性 的 错误 。 然 而 NSA 并 没有 提供 任何 进一步 的 
解释 证 明 该 错误 已 被 修正 。1998 年 ,在 一 次 对 SHA-0 的 攻击 中 发 现 这 次 攻击 并 不 能 适用 
于 SHA-l 不 知道 这 是 否 就 是 NSA 所 发 现 的 错误 ,但 这 或 许 上 暗示 这 次 修正 已 经 提升 了 
安全 性 。 

SHA-1 产生 消息 摘要 的 过 程 类 似 MD5 ,输入 为 长 度 小 于 2* 位 的 消息 ,输出 为 160 位 的 
消息 摘要 。 具 体 过 程 如 下 。 

Q@ 填充 消息 。 首 先 将 消息 填充 为 512 位 的 整数 倍 ,填充 方法 和 MD5 相同 : 先 填充 一 
个 1; 然后 填充 一 定数 量 的 0, 使 其 长 度 比 512 的 倍数 少 64 位 ; 接 下 来 附加 上 原 消息 长 度 的 
64 位 。 

@ 初始 化 缓冲 区 。 在 运算 过 程 中 ,SHA-1 要 用 到 两 个 缓冲 区 ,两 个 缓冲 区 均 有 5 个 32 
位 的 寄存 器 。 此 外 ,运算 过 程 中 还 用 到 80 个 32 位 字 序 列 和 一 个 单字 的 缓冲 区 。 

@ 按 512 位 的 分 组 处 理 输入 消息 。SHA-1 运算 主 循环 包括 4 轮 ,每 轮 20 次 操作 。 用 
到 一 个 逻辑 函数 序列 ,每 个 逻辑 函数 输入 三 个 32 位 字 ,输出 一 个 32 位 字 。 

NIST 发 布 了 三 个 额外 的 SHA 变 体 ,每 个 都 有 更 长 的 消息 摘要 。 以 它们 的 摘要 长 度 
(以 位 元 计算 ) 加 在 原名 后 面 来 命名 : SHA-256、SHA-384 和 SHA-512。 它 们 发 布 于 2001 
年 的 FIPS PUB 180-2 草稿 中 ,随即 通过 审查 和 评论 。 这 些 新 的 散 列 函数 并 没有 接受 像 
SHA-1 一 样 的 公众 密码 社 群 做 详细 的 检验 ,所 以 它们 的 密码 安全 性 还 不 被 大 家 广泛 地 信 
任 。2004 年 2 月, 发布 了 一 次 FIPS PUB 180-2 的 变更 通知 ,加 入 了 一 个 额外 的 变种 
SHA-224。 

SHA-1.SHA-224、.SHA-256 .SHA-384 和 SHA-512 都 被 需要 安全 散 列 算法 的 美国 联 
邦 政府 所 应 用 ,他 们 也 使 用 其 他 的 密码 算法 和 协定 来 保护 敏感 的 未 保密 资料 。FIPS PUB 
180-1 也 鼓励 私人 或 商业 组 织 使 用 SHA-1 加 密 。 
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2.5 密码 协议 


所 谓 协 议 ,就 是 两 个 或 者 两 个 以 上 的 参与 者 为 完成 某 项 特定 的 任务 而 采取 的 一 系列 步 
又 。 这 个 定义 包含 如 下 三 层 含义 。 
@ 协议 自始至终 是 有 序 的 过 程 ,每 一 个 步骤 必须 执行 ,在 前 一 步 没 有 执行 完 之 前 ,后 面 
的 步骤 不 能 执行 。 
@ 协议 至 少 需要 两 个 参与 者 。 
@) 通过 协议 必须 能 够 完成 某 项 任务 。 
密码 协议 (cryptographic protocol) 是 使 用 密码 学 完成 某 项 特定 的 任务 并 满足 安全 需求 
的 协议 ,又 称 安全 协议 (security protocol) 。 参 与 该 协议 的 伙伴 可 能 是 朋友 和 相互 信任 的 
人 ,也 可 能 是 敌人 和 互相 不 信任 的 人 。 密 码 协议 通常 使 用 特定 密码 算法 来 实现 。 
常用 密码 协议 可 分 为 如 下 几 种 。 
。 密 钥 建立 协议 : 用 于 在 两 个 或 多 个 实体 之 间 建 立会 话 密 钥 。 会 话 密 钥 一 般 是 一 个 
对 称 密 钥 ,用 来 加 密 双方 会 话 过 程 中 的 各 种 消息 。 协 议 可 以 采用 对 称 密码 体制 ,也 
可 以 采用 非 对 称 密码 体制 。 可 以 通过 一 个 可 信 的 服务 器 为 用 户 分 发 密 钥 ,这样 的 密 
钥 建 立 协议 称 为 密 钥 分 发 协议 ; 也 可 以 通过 两 个 用 户 协商 ,共同 建立 会 话 密 钥 ,这 
样 的 密 钥 建立 协议 称 为 密 钥 协商 协议 。 
。 认证 协议 : 主要 用 于 防止 假冒 攻击 。 包 括 实体 认证 (身份 认证 ) 协 议 、 消 息 认证 协 
议 ,数据 源 认 证 和 数据 目的 认证 协议 等 。 
。 认证 和 密 钥 交换 协议 : 将 认证 和 密 钥 交换 协议 结合 在 一 起 ,是 网 络 通信 中 最 普遍 应 
用 的 安全 协议 。 如 Needham-Schroeder 协议 .分布 认 证 安全 服务 协议 和 ITU-T X. 
509 认证 协议 等 。 
。 数字 签名 协议 : 用 于 提供 发 送 人 可 靠 性 和 消息 完整 性 的 证 明 。 
随 着 计算 机 网 络 应 用 的 不 断 深入 ,还 出 现 了 保密 选举 协议 ,数字 现金 协议 ,多方 计算 协 
议 等 许多 更 深入 的 安全 协议 。 
在 密码 协议 中 ,经 常 使 用 对 称 密码 、 公 开 密 钥 密 码 . 单 向 函数 和 伪 随 机 数 生成 器 等 。 
密码 协议 可 用 于 保障 计算 机 网 络 信息 系统 中 秘密 信息 的 安全 传递 与 处 理 ,确保 网 络 用 
户 能 够 安全 ,方便 、 透 明 地 使 用 系统 中 的 密码 资源 。 目 前 ,密码 协议 在 金融 系统 、 商 务 系统 、 
政务 系统 、 军 事 系 统 和 社会 生活 中 的 应 用 日 益 普遍 ,而 密码 协议 的 安全 性 分 析 验 证 仍 是 一 个 
悬而未决 的 问题 。 在 实际 社会 中 ,有 许多 不 安全 的 协议 曾经 被 人 们 作为 正确 的 协议 长 期 使 
用 ,如 果 将 其 用 于 军事 领域 的 密码 装备 中 , 则 会 直接 危害 到 军事 机 密 的 安全 性 ,会 造成 无 可 
估量 的 损失 。 这 就 需要 对 安全 协议 进行 充分 的 分 析 、 验 证 ,判断 其 是 否 达 到 预期 的 安全 
目标 。 
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本 章 实 验 


1. 编程 实现 DES 算法 。 
2. 编程 实现 SHA-1 算法 。 


思考 题 


1. 考虑 一 个 常用 质数 gq 二 11, 原 根 4a 二 2 的 Diffie_Hellman 方案 。 那 么 : 

@ 如 果 用 户 A 的 公 和 钥 为 Ys 二 9, 则 A 的 私 钥 XA 是 多 少 ? 

@ 如 果 用 户 B 的 公 钥 为 Ys 二 3, 则 共享 的 密 钥 KK 是 多 少 ? 

2. 私 钥 {2,3,6,13,27,52}, 取 n= 二 13,m 二 105: 

@ 计算 公 钥 。 

@ 对 消息 =011000 110101 101110 进行 加 解密 。 

3. 在 一 个 使 用 RSA 的 公开 密 钥 系统 中 ,你 截获 了 发 给 一 个 用 户 的 密 文 C 王 10。 而 且 
也 知道 e 二 5,n 二 35 ,那么 明文 M 是 什么 ? 

4. 在 一 个 RSA 系统 中 ,一 个 给 定 用 户 的 公 钥 是 e 二 31,n 二 3599, 那 么 这 个 用 户 的 私 钥 
是 什么 ? 


冲天 


数字 认证 技术 


3.1 认证 技术 概述 


认证 (authentication) ,又 称 鉴别 ,是 对 用 户 身 份 或 报 文 来 源 及 内 容 的 验证 。 认 证 包括 
两 类 : 一 是 指 在 用 户 开始 使 用 系统 时 ,系统 对 其 身份 进行 的 确认 , 即 对 通信 对 象 的 鉴别 , 称 
为 身份 鉴别 (认证 ); 二 是 验证 网 络 上 发 送 的 数据 (例如 一 个 消息 ) 的 来 源 及 其 完整 性 , 即 对 
通信 内 容 的 鉴别 , 称 为 报 文 (消息 ) 鉴 别 。 


3.1.1 报 文 鉴别 


报 文 鉴别 是 指 在 通信 对 等 实体 之 间 建 立 通信 联系 后 ,通信 者 对 收 到 的 信息 进行 验证 ,以 
保证 其 真实 性 和 完整 性 的 过 程 。 

一 般 来 说 ,这 种 验证 过 程 需要 确定 如 下 内 容 。 

。 报 文 是 由 确认 的 发 送 方 产生 的 。 

。 报 文 内 容 没有 被 修改 过 。 

。 报 文 的 接收 顺序 和 发 送 顺序 相同 。 

报 文 鉴别 可 分 为 报 文 源 鉴 别 、 报 文 内 容 鉴别 和 报 文 时 间 性 鉴别 。 

(1) 报 文 源 鉴别 

报 文 源 鉴别 用 于 确认 报 文 发 送 者 的 身份 ,可 以 采用 多 种 方法 实现 。 例 如 ,可 以 通过 附加 
在 消息 中 的 加 密 密 文 来 实现 报 文 源 鉴 别 : 发 送 方 利用 自己 的 私 钥 加 密 一 段 报 文 ,然后 发 送 
至 接收 方 , 接 收 方 利用 对 方 的 公 钥 进行 解密 来 鉴别 发 送 方 的 身份 。 由 于 系统 假定 只 有 发 送 
方 自己 拥有 其 私 钥 ,因此 只 有 发 送 方 能 够 产生 这 样 的 密 文 ,接收 方 如 果 可 以 解密 该 密 文 即 可 
鉴别 对 方 身份 ,这 就 是 数字 签名 的 原理 。 

(2) 报 文 内 容 鉴别 

内 容 鉴 别 的 目的 是 保证 通信 内 容 没 有 被 自 改 , 即 保证 数据 的 完整 性 ,通过 “消息 鉴别 码 ” 
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或 “消息 摘要 ”实现 。 鉴 别 的 一 般 过 程 为 : 发 送 方 计算 出 报 文 的 “消息 鉴别 码 ” 或 “消息 摘 
要 ”, 并 将 其 作为 报头 内 容 的 一 部 分 与 报 文 一 起 传送 至 接收 方 。 接 收 方 使 用 同样 的 算法 对 报 
文 内 容 进行 计算 ,并 将 产生 的 鉴别 码 与 收 到 的 值 进行 比较 ,车 相同 则 认为 报 文 的 内 容 正 确 、 
没有 被 自 改 ,否则 鉴别 失败 。 

(3) 报 文 时 间 性 鉴别 

报 文 时 间 性 鉴别 的 目的 是 验证 报 文 时 间 和 顺序 的 正确 性 , 即 确保 收 到 的 报 文 和 发 送 时 
的 报 文 顺 序 一 致 ,并 且 收 到 的 报 文 不 是 重复 的 报 文 , 可 通过 以 下 几 种 方法 实现 ， 

。， 利 用 时 间 苓 。 

。 对 报 文 进行 编号 。 

。 使 用 预先 给 定 的 一 次 性 通行 字 表 , 即 每 个 报 文 使 用 一 个 预先 确定 且 有 序 的 通行 字 标 

识 符 来 标识 其 顺序 。 


3.1.2 身份 鉴别 


身份 鉴别 是 对 终端 用 户 的 身份 进行 识别 和 验证 的 技术 ,目的 是 防止 非法 用 户 对 计算 机 
或 网 络 系统 的 未 授权 访问 。 它 是 信息 系统 安全 保密 的 第 一 道 防线 ,也 是 最 基本 的 安全 措施 。 
身份 鉴别 可 以 和 报 文 源 鉴 别 一 同 实施 ,如 数字 签名 ,也 可 分 开 实施 , 即 只 鉴别 身份 (参见 3. 2 
节 和 3;3 节 》s 
一 般 , 可 以 把 身份 鉴别 方法 归 为 以 下 三 类 。 
。 密码 验证 : 通信 双方 使 用 预先 约定 的 通行 字 标识 自己 的 身份 ,通过 验证 密码 进行 身 
份 鉴别 。 

。 拥有 物 验 证 : 通信 对 等 实体 使 用 拥有 物 ,如 通行 证 ,智能 卡 或 者 密 钥 等 进行 身份 鉴 
别 。 例 如 ,数字 签名 中 ,发 送 者 使 用 自己 的 私 钥 加 密 一 段 报 文 的 消息 摘要 ,接收 者 利 
用 发 送 者 的 公 钥 进行 解密 ,从 而 进行 身份 认证 。 

。 生物 特征 验证 : 使 用 消息 发 送 者 的 生物 特征 ,如 指纹 、 声 音 和 手写 签名 等 进行 身份 

鉴别 。 

下 面 详细 讲述 使 用 密码 和 密 钥 进行 身份 鉴别 的 原理 和 方法 。 


3.2 密码 鉴别 


3.2.1 密码 与 密码 攻击 


密码 鉴别 是 防止 未 授权 访问 的 常用 方法 ,很 多 系统 基于 用 户 名 和 密码 进行 鉴别 和 授权 ， 
因此 ,密码 系统 本 身 的 安全 性 对 系统 的 安全 性 至 关 重要 : 密码 一 旦 被 破解 ,非法 用 户 就 可 以 
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拥有 合法 用 户 的 权限 ,对 系统 进行 更 改 和 其 他 操作 ,从 而 严重 威胁 系统 安全 。 随 着 网 络 技术 
的 发 展 以 及 Internet 的 广泛 使 用 ,网 络 上 针对 密码 的 攻击 越 来 越 频繁 ,密码 攻击 的 方法 也 越 
来 越 多 样 ,这 使 得 传统 的 、 由 系统 保存 一 个 固定 的 用 户 密码 并 和 用 户 输入 的 密码 进行 比较 来 
进行 身份 鉴别 的 简单 方法 ( 称 为 可 复 用 密码 技术 ) 已 不 能 满足 系统 和 密码 安全 的 需要 ,针对 
密码 的 各 种 攻击 使 得 新 的 密码 鉴别 技术 不 断 出 现 。 

针对 密码 的 攻击 通常 有 如 下 方法 。 


1. 密码 猜测 


攻击 者 进行 反复 尝试 以 猜测 用 户 或 系统 的 密码 ,如果 是 短 密 码 和 简单 密码 ,这 种 方法 是 
有 效 的 。 攻 击 者 可 以 利用 一 些 专门 的 软件 强行 破解 用 户 密码 ,这 种 方法 不 受 网 段 限制 。 

典型 的 密码 猜测 方法 为 字典 攻击 , 它 是 一 种 联机 攻击 方法 : 攻击 者 采用 字典 穷 举 法 来 
破解 用 户 的 密码 ,通常 ,攻击 者 通过 一 些 工具 程序 ,自动 地 从 字典 中 取出 一 个 单词 ,作为 用 户 
的 密码 ,再 输入 给 远 端 的 主机 ,申请 进入 系统 ; 若 密码 错误 ,就 按 序 取出 下 一 个 单词 ,进行 下 
一 个 尝试 ,并 一 直 循 环 下 去 ,直到 找到 正确 的 密码 或 字典 的 单词 试 完 为 止 。 由 于 这 个 破译 过 
程 由 计算 机 程序 来 自动 完成 ,因而 几 个 小 时 就 可 以 把 上 十 万 条 记录 的 所 有 单词 都 尝试 一 遍 。 

男 一 种 密码 猜测 方法 为 强力 攻击 。 这 是 一 种 特殊 的 字典 攻击 , 它 使 用 字符 串 的 全 集 作 
为 字典 , 即 穷 举 所 有 可 能 的 密码 空间 。 这 需要 很 大 的 耐心 和 巨大 的 工作 量 。 然 而 , 若 用 户 的 
密码 较 短 ,那么 它 很 快 就 会 被 穷 举 出 ,因而 很 多 系统 都 建议 用 户 使 用 长 密码 。 


2. 密码 侦 听 

密码 侦 听 即 通过 网 络 监听 和 数据 包 嗅 探 得 到 用 户 密码 。 这 种 方法 需要 在 局 域 网 内 实 
施 , 具 有 一 定 的 局 限 性 ,但 危害 性 极 大 。 监 听 者 往往 利用 网 络 嗅 探 工具 获取 网 络 上 的 数 
据 包 ,通过 对 数据 包 的 分 析 获 得 用 户 账 号 和 密码 等 信息 。 当 前 , Internet 的 很 多 应 用 协议 
本 身 没 有 采取 加 密 或 身份 认证 措施 ,如 在 Telnet、.FTP、HTTP 和 SMTP 等 传输 协议 中 ,用 
户 账号 和 密码 均 以 明文 格式 传输 ,此 时 若 攻 击 者 利用 数据 包 截取 工具 便 可 以 很 容易 获取 
用 户 的 账号 和 密码 。 

另 有 一 种 中 途 截 击 攻击 方法 , 它 在 客户 端 和 服务 器 端 完成 “三 次 握手 ”建立 连接 之 后 ,在 
通信 过 程 中 假冒 服务 器 身份 欺骗 客户 端 ,再 假冒 客户 端 向 服务 器 发 出 恶意 请 求 。 男 外 ,攻击 
者 有 时 还 会 利用 软件 和 硬件 工具 时 刻 监视 系统 主机 的 工作 ,等 待 记录 用 户 登 录 信 息 , 从 而 获 
取 用 户 密码 ; 或 者 攻击 者 可 以 编制 导致 缓冲 区 溢出 错误 的 SUID 程序 来 获得 超级 用 户 的 
权限 。 


3. 密码 窃取 或 盗用 
密码 窃取 或 盗用 一 般 指 利用 系统 和 网 络 的 漏洞 窃取 密码 。 攻 击 者 利用 操作 系统 和 网 络 
系统 的 漏洞 对 用 户 密 码 进 行窃 取 、 盗 用 和 分 析 。 由 于 操作 系统 本 身 存在 许多 安全 漏洞 或 设 
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计 缺 陷 , 这 些 漏 洞 和 缺陷 一 旦 被 发 现 , 黑 客 就 可 以 长 驱 直 和 ,获得 用 户 密码 ,进而 控制 受害 主 
机 。 例 如 ,Unix 操作 系统 中 ,用 户 的 基本 信息 存放 在 passwd 文件 中 ,用 户 的 密码 保存 在 
shadow 文件 中 ,攻击 者 通过 网 络 人 侵 或 利用 操作 系统 的 漏洞 即 可 获得 该 密码 文件 。 

利用 系统 漏洞 的 典型 攻击 方法 是 特洛伊 木马 ,这 种 程序 可 以 人 侵 用 户 的 计算 机 , 它 常常 
被 伪装 成 工具 程序 或 者 游戏 等 诱 使 用 户 打开 该 程序 ,许多 邮件 的 附件 中 也 带 有 特洛伊 木马 
程序 ,一 旦 用 户 打开 了 这 些 邮 件 的 附件 或 者 执行 了 这 些 程序 之 后 ,它们 就 会 在 计算 机 系统 中 
隐藏 一 个 可 以 在 Windows 系统 启动 时 自动 执行 的 程序 。 当 被 种 植 了 木马 的 计算 机 连接 到 
Internet 上 时 ,这 个 程序 就 会 和 攻击 者 的 计算 机 建立 连接 ,攻击 者 可 以 任意 地 修改 受害 计算 
机 的 参数 设 定 、 复 制 文件 .窥视 其 整个 硬盘 中 的 内 容 , 包 括 密码 等 ,从 而 达到 控制 受害 计算 机 
的 目的 。 


4. 密码 分 析 

密码 分 析 指 对 加 密 密 码 进行 分 析 和 破解 。 攻 击 者 通过 数据 包 嗅 探 或 利用 系统 漏洞 获得 
用 户 的 密码 或 密码 文件 ,很 多 密码 是 经 过 加 密 的 ,不 能 直接 得 到 原始 密码 ,攻击 者 可 以 利用 
密码 分 析 或 者 采用 某 些 针对 特定 加 密 算 法 的 破解 工具 对 加 密 密 码 进行 分 析 和 破解 。 例 如 ， 
上 面 提 到 的 Unix 操作 系统 中 用 户 的 密码 是 经 过 DES 算法 加 密 后 存放 在 shadow 文件 中 
的 ,攻击 者 可 以 使 用 专门 破解 DES 加 密 法 的 程序 来 解密 该 密码 。 


5. 重 放 攻 击 


攻击 者 截获 含有 用 户 密码 的 数据 包 后 ,在 不 进行 密码 破解 的 情况 下 ,直接 向 目标 主机 发 
送 一 个 重复 的 .含有 登录 信息 的 数据 包 , 从 而 登录 系统 。 即 攻击 者 虽然 无 法 窃听 密码 ,但 他 
们 可 以 先 截 取 加 密 后 的 密码 然后 将 其 重 放 , 从 而 利用 这 种 方式 进行 有 效 的 攻击 。 

为 了 抵抗 各 种 针对 密码 的 攻击 ,常用 的 方法 如 下 。 

(1) 使 用 验证 码 

为 了 防止 联机 的 字典 或 强力 攻击 ,很 多 系统 都 采用 验证 码 的 方式 , 即 在 用 户 输入 用 户 名 
和 密码 的 同时 ,还 需要 输入 一 个 额外 的 字符 串 ,该 字符 串 从 服务 器 端 产 生 并 发 送 至 客户 端 ， 
并 且 在 用 户 输入 密码 失败 后 重新 生成 新 的 值 ,从 而 可 以 有 效 防止 利用 密码 猜测 工具 进行 的 
自动 登录 。 

(2) 密码 加 密 保护 

通过 采用 强加 密 密 码 可 以 防止 攻击 者 在 有 效 时 间 内 破解 用 户 密码 ,这 种 方法 不 能 抵御 
密码 猜测 ,同时 ,如 果 没 有 额外 措施 ,加 密 密 码 不 能 抵御 重 放 攻 击 。 

(3) 动态 密码 卡 

为 了 防止 用 户 密码 被 监听 和 分 析 , 目 前 许多 应 用 系统 采用 动态 密码 卡 进行 身份 鉴别 。 
系统 给 用 户 分 发 一 个 可 以 有 限 次 使 用 的 动态 密码 卡 ,每 次 登录 时 ,系统 提示 某 种 额外 信息 ， 
用 户 根据 这 种 提示 信息 在 动态 密码 卡 上 找到 对 应 的 密码 。 每 次 登录 系统 时 采用 不 同 的 密 


第 3 章 数字 认证 技术 47 


人 码 ,密码 使 用 一 次 即 失 效 ,密码 全 部 失效 后 系统 给 用 户 更 换 新 的 密码 卡 ,从 而 防止 网 络 监听 、 
密码 猜测 和 重 放 攻 击 等 。 其 缺点 是 用 户 密码 仍 在 网 络 上 传输 ,而且 用 户 必 须 妥善 保管 自己 
的 密码 卡 。 

电子 银行 密码 卡 是 动态 密码 卡 的 典型 应 用 。 电 子 银行 密码 卡 以 矩阵 的 形式 存 有 若干 字 
符 串 ( 即 用 户 密码 ) ,客户 在 使 用 电子 银行 进行 交易 时 ,电子 银行 系统 会 随机 给 出 一 组 密码 卡 
坐标 ,客户 根据 坐标 从 密码 中 找到 密码 组 合并 输入 电子 银行 系统 进行 密码 鉴别 。 这 种 密码 
组 合 是 动态 变化 的 ,使 用 者 每 次 使 用 时 输入 的 密码 都 不 一 样 , 交 易 结束 后 密码 失效 ,从 而 在 
一 定 程度 上 保障 电子 银行 交易 的 安全 性 。 

(4) 一 次 一 密 密 码 

应 对 密码 猜测 和 重 放 攻 击 最 有 效 的 方法 是 使 用 一 次 一 密 密 码 , 或 称 一 次 性 密码 (one 
time password,OTP)。 在 一 次 性 密码 系统 中 ,系统 利用 用 户 输入 的 原始 密码 ,结合 系统 生 
成 的 其 他 字符 串 ,经 过 某 种 动态 密码 生成 算法 计算 后 ,每 次 产生 不 同 的 密码 用 于 系统 登录 ， 
这 种 一 次 性 密码 难以 猜测 ,并 且 用 户 的 原始 密码 不 在 网 络 上 传输 ,因此 OTP 可 以 抵抗 字典 
攻击 、 强 力 攻击 和 重 放 攻击 等 ,从 而 有 效 提 高 密码 系统 的 安全 性 。 

目前 ,一 次 一 密 密 码 技术 已 被 广泛 应 用 于 VPN、 操 作 系 统 登录 和 网 络 访问 服务 器 
(network access server, NAS) 中 进行 基于 密码 的 身份 鉴别 。 


3.2.2 验证 码 


为 了 防止 针对 密码 的 联机 字典 攻击 和 强力 攻击 ,许多 系统 采用 验证 码 和 用 户 密码 一 起 
进行 身份 鉴别 。 不 少 网 站 为 了 防止 用 户 利用 密码 破解 程序 自动 注册 和 进行 系统 登录 ,也 普 
遍 采 用 了 验证 码 技术 ,如 图 3. 1 所 示 。 

验证 码 的 一 般 工作 过 程 和 原理 是 客户 端 访问 服 ” 堵 早 光 


务 器 时 ,服务 器 端 产生 一 段 随机 码 ( 一 般 是 随机 数 或 NK: 

字符 串 ,或 将 随机 字符 串 经 过 某 种 算法 变换 或 加 密 后 人 人 
形成 新 的 随机 码 ) ,然后 将 这 段 随机 码 以 图 片 的 形式 wPasa: 关 一 

在 客户 端 显示 ,客户 端 输 入 图 片 中 的 随机 码 及 其 常规 。 证 aititm:| 。 国 攻 全 司 
密码 进行 登录 。 服 务 器 端 需要 保存 这 一 段 随机 码 , 并 | | 
通过 验证 用 户 输入 的 随机 码 和 密码 的 正确 性 来 进行 


图 3.1 验证 码 示例 
身份 鉴别 。 


以 图 片 方 式 显示 验证 码 的 好 处 是 可 以 防止 客户 端 程序 自动 识别 该 随机 码 , 为 了 达到 这 
一 目标 ,一 般 在 图 片 中 加 入 干扰 因素 以 防止 客户 端 程序 进行 图 像 识别 。 

验证 码 的 实现 有 多 种 方法 ,对 应 的 安全 强度 也 不 同 。 最 简单 的 验证 码 是 将 服务 器 端 生 
成 的 随机 字符 串 保存 在 网 页 或 cookie 中 传递 至 客户 端 , 然 后 将 该 随机 字符 串 在 客户 端 以 图 
片 方式 显示 。 基 于 这 种 方法 的 身份 鉴别 系统 的 安全 性 不 高 ,因为 攻击 者 可 以 通过 截获 页 面 
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或 者 对 cookie 进行 读 取 和 分 析 来 破解 该 验证 码 , 因 此 这 种 方法 不 能 很 好 抵御 联机 密码 攻 
击 。 另 一 种 简单 方法 是 将 生成 的 随机 字符 串 使 用 服务 器 端 程序 生成 一 个 图 片 ,然后 再 将 该 
图 片 传输 至 客户 端 显 示 。 这 种 方式 增加 了 程序 自动 分 析 验 证 码 的 难度 ,但 也 可 以 通过 文本 
识别 进行 破解 。 

安全 性 高 的 验证 码 应 该 是 用 户 容 易 识 别 , 但 机 器 和 程序 不 能 自动 识别 ,并 且 验 证 码 在 每 
次 用 户 登录 时 都 发 生变 化 ,因此 可 以 防御 攻击 者 利用 程序 进行 字典 攻击 和 强力 攻击 、 自 动 进 
行 登录 尝试 等 ,从 而 有 效 防御 密码 猜测 、 密 码 分 析 等 联机 密码 攻击 。 为 了 保证 验证 码 和 密码 
鉴别 的 安全 性 ,高 级 的 验证 码 不 使 用 明文 直接 传递 至 客户 端 ,也 不 直接 将 验证 码 存储 在 
cookie 中 。 

下 面 介 绍 两 种 高 级 验证 码 的 实现 方法 : 一 是 加 密 后 的 验证 码 在 cookie 中 传递 至 客户 
端 ,二 是 验证 码 不 进行 传递 ,而 是 保存 在 服务 器 端 。 


1. 验证 码 在 cookie 中 

这 种 方式 中 ,验证 码 的 实现 过 程 描 述 如 下 。 

@ 服务 器 生成 一 个 随机 字符 串 。 

@ 服务 器 端 使 用 某 种 加 密 算法 {( 该 算法 不 可 逆 , 破 解难 度 高 ) 将 该 字符 串 转 化 成 为 验 
证 码 ,再 转化 成 图 片 。 

@ 图 片 被 发 送 到 客户 端 ,并 将 图 片 显示 在 客户 端 登录 界面 上 。 

@ 客户 端 输 入 用 户 名 和 原始 密码 ,同时 ,按照 图 片 内 容 输入 验证 码 ,进行 登录 。 

@ 服务 器 检查 验证 码 和 用 户 密 码 是 否 正 确 。 


2. 验证 码 保存 在 服务 器 端 


这 种 方式 中 ,验证 码 的 实现 过 程 描述 如 下 。 

@ 服务 器 根据 用 户 相关 信息 (如 用 户 IP .用户 身份 标识 SID 等 ) 生 成 一 个 随机 字符 串 。 

@ 服务 器 端 使 用 某 种 加 密 算法 将 字符 串 转 化 成 为 验证 码 。 

@ 验证 码 被 保存 在 服务 器 的 本 地 数据 库 中 (通常 该 数据 库 包括 session, 有 关 用 户 IP 等 
信息 ) ,并 由 一 个 序列 号 seq 指向 该 用 户 对 应 的 验证 码 。 

@ 这 个 序列 号 seq 被 作为 cookie 发 送 至 客户 端 ,并 以 图 片 方式 显示 。 

@ 客户 端 输入 验证 码 。 

@ 服务 器 按照 客户 端 输入 的 序列 号 读 取 数 据 库 中 所 期 望 中 的 验证 码 。 服 务 器 还 可 以 
对 seq 与 session ID 之 间 的 关系 进行 验证 。 

@ 用 户 进行 了 验证 操作 或 重新 获取 验证 码 后 ,服务 器 将 原来 数据 库 中 的 验证 码 用 新 的 
值 替换 。 

验证 码 可 以 在 一 定 程度 上 增加 攻击 者 使 用 自动 程序 进行 密码 攻击 的 难度 ,但 从 理论 上 
讲 , 采 用 验证 码 方式 的 鉴别 系统 不 能 完全 抵御 字典 攻击 和 强力 攻击 。 同 时 ,利用 验证 码 和 普 
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通 密码 系统 进行 身份 鉴别 时 ,用户 密码 仍 在 网 络 上 传输 ,并 且 密 码 是 重复 用 的 ,无 法 抵御 密 
码 监听 密码 分 析 等 密码 攻击 。 


3.2.3 一 次 一 密 密 码 


一 次 一 密 密 码 协 议 OTP 由 RFC 1938 定义 。 

一 次 一 密 密 码 系 统 由 终端 用 户 .远程 服务 器 和 密码 计算 器 构成 。 首 先 ,在 用 户 和 远程 服 
务 器 之 间 建 立 一 个 共享 通行 字 一 一 相当 于 传统 密码 系统 中 的 “密码 ”, 在 一 次 性 密码 系统 中 
该 通行 字 称 为 “通行 短语 ”"。 同 时 ,它们 之 间 还 应 具备 一 种 相同 的 “密码 计算 器”, 该 密码 计算 
器 实际 上 是 某 种 动态 密码 算法 的 硬件 或 软件 实现 , 它 的 作用 是 生成 一 次 性 密码 。 

当 用 户 向 服务 器 发 出 连接 请 求 时 ,服务 器 向 用 户 提出 挑战 (challenge)。 挑 战 由 两 部 分 
组 成 : 一 部 分 是 种 子 值 (seed), 它 是 分 配给 用 户 的 在 系统 内 具有 唯一 性 的 一 个 数值 ,也 就 是 
说 ,一 个 种 子 对 应 于 一 个 用 户 , 同 时 它 是 非 保密 的 ; 另 一 部 分 是 迭代 值 (iteration) , 它 是 服务 
器 临时 产生 的 一 个 数值 ,与 通行 短语 和 种 子 值 不 同 的 是 ,和 迭代 值 总 是 不 断 变化 的 。 

用 户 收 到 挑战 后 ,将 种 子 值 、 迭 代 值 和 通行 短语 输入 到 自己 的 “密码 计算 器 ”中 进行 计 
算 , 并 把 结果 作为 应 答 返 回 服务 器 。 服 务 器 暂 存 从 用 户 那 里 收 到 的 应 答 , 由 于 服务 器 知道 用 
户 的 通行 短语 、 种 子 值 和 迭代 值 , 因 此 它 能 够 计算 出 和 用 户 相同 的 、 正 确 的 应 答 值 ,通过 比较 
这 两 个 值 ,服务 器 就 可 以 鉴别 用 户 的 身份 。 

OTP 的 验证 过 程 如 图 3. 2 所 示 。 可 以 看 出 ,在 = 
一 次 一 密 密 码 系统 中 ,用 户 通过 网 络 传递 至 服务 器 1. 请 求 连接 
的 密码 是 由 种 子 值 、 迭 代 值 和 通行 短语 在 密码 计算 2. 提示 输入 用 户 名 
器 作用 下 的 计算 结果 ,用 户 本 身 的 通行 短语 没有 在 “3. 输入 用 户 名 


| _| 服 
网 络 上 传输 。 只 要 密码 计算 器 中 的 算法 足够 复杂 ，| 由 | 4 提出 上 4 
就 很 难 从 中 破解 出 原始 的 通行 短语 ,从 而 有 效 地 抵 计算 并 反问 庙 答 。 
御 网 络 窃听 攻击 。 又 因为 迭代 值 总 是 不 断 变化 的 ， 6 通过 比较 确认 身份 


一 


比如 当 身份 认证 成 功 时 ,将 用 户 的 迭代 值 自动 减 1， 
这 使 得 下 一 次 用 户 登 录 时 使 用 的 密码 鉴别 信息 和 前 
一 次 不 同 (一 次 性 密码 技术 由 此 得 名 ) ,从 而 可 以 有 
效 抵御 重 放 攻击 。 总 之 ,与 可 重用 密码 技术 的 单 因子 (用 户 密 码 ) 鉴 别 不 同 , 一 次 性 密码 技术 
是 一 种 多 因子 (包括 种 子 值 . 迭 代 值 和 通行 短语 ) 鉴 别 技术 ,其 中 引入 的 不 确定 因子 使 得 它 比 
传统 密码 系统 更 为 安全 。 

OTP 技术 的 具体 实现 包括 目前 广泛 使 用 的 .由 Bellcore 研制 的 S/KEY 系统 ,以 及 在 其 
基础 上 开发 的 IPIE(ine-time passwords in everything) 系 统 。OTP 可 广泛 应 用 于 VPN 、 操 
作 系 统 登录 和 远程 访问 服务 器 等 。 

在 实施 时 ,OTP 系统 可 以 和 应 用 系统 集成 , 即 把 OTP 和 客户 端 及 服务 器 端 软件 集成 ， 


图 3.2 一 次 一 密 密 码 验 证 过 程 
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密码 的 生成 和 鉴别 过 程 对 用 户 透明 : 用 户 只 需 输 入 原始 密码 (PIN 密码 ) ,一 次 性 密码 的 计 
算 和 输入 由 客户 端 系 统 自动 完成 ; 也 可 以 将 OTP 和 应 用 系统 分 离 , 即 采用 专门 的 OTP 计 
算 絮 产生 一 次 性 密码 ,用 户 登录 系统 时 输入 原始 密码 的 同时 ,需要 输入 OTP 产生 的 一 次 性 
密码 ( 某 些 系统 中 称 为 token)。 后 一 种 情况 ,OTP 计算 器 可 以 内 嵌 在 一 个 硬件 设备 中 分 发 
给 用 户 。 本 章 3. 5 节 将 介绍 S/KEY 系统 中 一 次 性 密码 的 实现 和 应 用 。 


3.2.4 基于 挑战 /应 答 的 鉴别 


基于 挑战 /应 答 (challenge/response) 方 式 的 身份 认证 机 制 属 于 密码 鉴别 的 一 种 ,其 特 
点 是 密码 不 在 网 络 上 传输 。 该 认证 机 制 中 ,每 次 认证 时 认证 服务 器 (认证 者 ) 向 客户 端 ( 被 认 
证 者 ) 发 送 一 个 不 同 的 “挑战 ? 字 串 ,客户 端 程序 收 到 这 个 "挑战 ? 字 串 后 ,按照 双方 事先 协商 
好 的 方式 做 出 相应 的 “应 答 ”。“ 挑 战 ”字符 串 相 当 于 认证 方 对 被 认证 方 的 质询 ,而 应 答 是 针 
对 该 质询 的 回答 。 认 证 方 通过 检查 该 应 答 是 否 正确 来 确认 对 方 的 身份 。 

如 图 3. 3 所 示 ,一 个 典型 的 基于 挑战 /应 答 身 份 


的 认证 过 程 描述 如 下 ， Cr 
四 客户 端 向 认证 服务 器 发 出 请 求 ,要 求 进行 身 | # | wa | 从 
份 认证 。 匀 认证 结果 (RESULT) 帮 
@ 认证 服务 器 从 用 户 数据 库 中 查询 该 用 户 是 | 上 六 
否 为 合法 用 户 , 若 不 是 , 则 不 做 进一步 处 理 。 


@ 认证 服务 器 内 部 产生 一 个 随机 数 , 即 挑战 字 
符 串 。 作 为 对 客户 端的 “质询 ”或 “提问 ”, 发 送 至 客 
户 端 。 

@ 客户 端 将 用 户 名 字 和 随机 数 合 并 ,将 双方 共享 的 密码 或 密 钥 作 为 输入 ,使 用 单 向 
Hash 函数 (例如 MD5 算法 ) 生 成 一 个 字符 串 作为 应 答 

@ 认证 服务 器 将 应 答 串 与 自己 的 计算 结果 比较 , 若 两 者 相同 , 则 通过 认证 ,和 否则 认证 
失败 。 

@ 认证 服务 器 通知 客户 认证 成 功 或 失败 。 

之 后 ,认证 请 求 由 客户 不 定时 地 发 起 ,两 次 认证 的 时 间 间 隔 应 适当 选取 , 太 短 会 给 网 络 、 
客户 端 和 认证 服务 器 带 来 过 多 的 资源 耗费 ,时 间 间 隔 太 长 则 不 能 抵御 IP 地 址 盗用 等 网 络 攻 
击 ,一般 可 为 1 一 2 分 钟 。 


图 3.3 基于 挑战 /应 答 的 鉴别 过 程 


1. 密 钥 的 分 配 和 管理 
密 钥 的 分 配 由 维护 模块 负责 , 当 用 户 进行 注册 时 .自行 设 定 自 己 的 密码 字 。 用 户 的 密 钥 
由 密码 字 生 成 。 
一 个 密码 字 必 须 经 过 两 次 密码 字 检 查 。 第 一 次 由 注册 程序 检查 ,强制 密码 字 必 须 有 足 
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够 的 长 度 ( 如 8 个 字符 )。 密 码 字 被 加 密 后 送 入 数据 库 中 ,这 个 密码 字 标 记 为 “未 检查 的 ”。 
第 二 次 ,由 离线 的 密码 字 检 查 工 具 进 行 检查 ,将 弱 密 码 字 进行 标记 ,当下 一 次 用 户 认证 时 , 认 
证 服务 器 将 强制 用 户 修改 密码 字 。 

密 钥 的 在 线 修改 由 认证 服务 器 完成 , 它 的 过 程 与 认证 过 程 基本 类 似 。 


2. 安全 性 分 析 


(1) 网 络 侦 听 (sniffer) 

认证 过 程 中 , 密 钥 和 密码 字 不 在 网 络 上 传输 ,所 以 网 络 侦 听 攻击 无 效 。 而 在 密 钥 的 在 线 
修改 过 程 中 ,新 密码 字 使 用 旧 的 密 钥 加 密 传 送 , 网 络 侦 听 攻击 仍然 无 效 。 

由 于 采用 了 单 向 Hash 函数 来 对 密码 字 和 随机 数 进 行 处 理 , 侦 听 者 很 难 从 侦 听 到 的 报 
文 得 到 用 户 的 密码 字 。 

(2)“ 重 放 ” 攻 击 (replay) 

由 于 认证 服务 器 每 次 选取 的 随机 数 不 同 , 即 Challenge 值 不 同 , 所 以 无 法 通过 “ 重 放 ” 前 
面 侦 听 到 的 认证 报 文 来 完成 以 后 的 认证 。 

(3) 密码 字 猜 测 (password guessing) 

侦 听 者 在 获知 认证 算法 后 ,可 以 对 用 户 的 密码 字 进 行 猜测 : 使 用 计算 机 猜测 密码 字 , 利 
用 得 到 的 报 文 进行 验证 。 这 种 攻击 办 法 直接 有 效 ,特别 是 当 用 户 的 密码 字 有 缺陷 时 ,比如 密 
码 字 短 、 使 用 名 字 做 密码 字 、 使 用 一 个 单词 做 密码 字 ( 可 以 使 用 字典 攻击 ) 等 。 

对 付 这 种 攻击 的 办 法 是 使 用 一 个 很 长 的 密码 字 ,并 避免 使 用 用 户 名 字 中 的 字 ,避免 使 用 
一 个 单词 做 密码 字 等 。 系 统 本 身 对 密码 字 要 求 严格 ,首先 密码 字 必 须 取得 足够 长 。 用 户 的 
登记 和 修改 密码 字 的 程序 强制 用 户 的 密码 字 长 度 。 其 次 ,可 以 利用 离线 的 密码 字 检 查 工具 ， 
将 弱 密 码 字 标记 ,强制 用 户 限 期 修改 。 这 样 ,用 户 的 密码 字 就 有 足够 的 抗 攻 击 强 度 。 

(4) 跟踪 地 址 攻击 

即 攻击 者 在 看 到 用 户 认证 后 ,设法 将 自己 的 机 器 地 址 更 改 为 用 户 的 IP 地 址 ,从 而 冒充 
用 户 上 网 。 但 由 于 攻击 者 无 法 完成 后 续 的 认证 ,在 1 一 2 分 钟 内 ,攻击 失效 。 

以 上 描述 的 是 基于 挑战 /应 答 身份 认证 机 制 一 个 示例 过 程 , 不 同 的 协议 在 具体 实现 上 有 
所 不 同 , 如 产生 ”挑战 ?和 应 答 的 算法 以 及 认证 的 频率 等 由 具体 协议 确定 。 质 询 握手 认证 协 
议 (challenge handshake authentication protocol,CHAP) 是 基于 挑战 /应 答 身 份 认证 的 一 种 
具体 协议 ( 见 3.5 节 )。 

基于 挑战 /应 答 的 鉴别 和 OTP 的 思想 类 似 , 两 者 均 不 在 网 络 上 传输 密码 ,而 是 发 送 经 
过 加 密 的 密 文 ,该 密 文 和 密码 以 及 认证 者 原始 发 送 的 一 个 字符 串 相 关 。 区 别 是 两 者 防止 
密码 攻击 的 方法 不 同 : 基于 挑战 /应 答 的 鉴别 每 次 鉴别 时 通过 改变 “挑战 字 ” 的 值 来 抵御 
“ 重 放 ” 攻 击 ,而 OTP 则 是 改变 密 文 的 内 容 ( 每 次 使 用 不 同 的 密 文 ) 来 增加 密码 系统 的 安 
全 性 。 
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3.3 ”基于 密 钥 的 鉴别 


3.3.1 基于 对 称 密 钥 的 鉴别 


对 称 密 钥 加 密 体制 中 ,通信 双方 共享 一 对 密 钥 。 假 设 只 有 通信 双方 知道 该 密 钥 , 则 该 对 
称 密 钥 可 以 作为 用 户 身份 鉴别 的 依据 。 最 简单 的 基于 对 称 密 钥 的 鉴别 过 程 如 图 3.4 所 示 。 
A 假设 通信 双方 A 和 了 B 拥有 事先 协商 产生 的 一 对 
对 称 密 钥 氏 ,B 欲 对 A 的 身份 进行 鉴别 ,鉴别 过 程 描 
述 如 下 。 
@ A 向 B 发 送 一 条 消息 ,要 求 对 方 鉴别 自己 的 身 


名 请 求 鉴别 
@R 
份 。 


四 已 向 人 发送 一 个 随机 数 民 。 


K 天 @ A 使 用 对 称 密 钥 将 该 随机 数 R 加 密 后 形成 
图 3.4 基于 对 称 密 钥 的 单 向 鉴别。 密 文 CR) ,然后 将 KCR) 传 输 给 B。 
外 B 使 用 对 称 密 钥 K 解密 该 密 文 ,如 果 能 够 还 原 


出 尺 , 则 成 功 鉴 别 A 的 身份 。 

上 述 利用 对 称 密 钥 进 行 身份 鉴别 的 依据 是 : 由 于 假定 只 有 A 拥有 自己 的 私 钥 ,因此 
也 只 有 A 能 够 生成 密 文 K(R) ,如 果 B 通过 解密 该 密 文 得 到 尺 , 即 可 鉴别 A 的 身份 。 

上 述 鉴 别 过 程 可 用 于 双向 鉴别 , 即 鉴别 A 身份 的 同时 ,A 对 也 的 身份 进行 鉴别 。 鉴 
别 过 程 如 图 3. 5 所 示 。 

@ A 向 B 发 送 一 个 随机 数 RA。 

@ B 向 A 发 送 另 一 个 随机 数 Re ,同时 将 RA 使 用 
对 称 密 钥 K 加 密 后 形成 密 文 K (RA) 发 送 至 A。 

@ A 使 用 对 称 密 钥 解密 该 密 文 ,如 果 能 够 还 原 出 
Ra , 则 成 功 鉴别 B 的 身份 。 

@ A 将 四 中 收 到 的 随机 数 Rs 使 用 对 称 密 钥 k @ A 鉴别 B @ B 鉴 别 A 
加 密 后 形成 密 文 有 (Ra) 发 送 至 B。 人 A 

@ B 解密 该 密 文 ,如 果 能 够 还 原 出 Ra , 则 成 功 鉴 。 图 35 基于 对 称 密 钥 的 双向 鉴别 
别 A 的 身份 。 

上 述 鉴别 过 程 中 ,随机 数 尺 采用 明文 在 网 络 上 传输 ,如 果 第 三 方 截获 随机 数 R 和 其 加 
密 后 的 密 文 氏 CR) . 则 可 以 对 该 鉴别 系统 进行 密码 分 析 。 为 了 避免 这 种 密码 分 析 , 可 以 对 上 
述 鉴别 系统 进行 简单 改进 ,如 图 3. 6 所 示 , 在 第 2 步 中 将 随机 数 R 使 用 对 称 密 钥 加 密 后 伟 
输 至 A; 在 第 三 步 中 ,为 了 防止 重 放 "攻击 ,可 以 给 密 文 加 上 时 间 戳 ,或 者 加 入 某 些 附加 信 
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息 。 双 向 鉴别 过 程 可 采用 同样 的 方法 ,以 提高 系统 的 安全 性 。 
3.3.2 基于 非 对 称 密 钥 的 鉴别 


利用 非 对 称 密码 体系 中 的 私 钥 也 可 以 进行 身份 鉴别 。 例 如 ,用 户 B 对 用 户 A 进行 单 向 
鉴别 之 前 ,A 将 自己 的 公 钥 传递 给 B, 鉴 别 过程 如 图 3.7 所 示 。 


名 请 求 鉴 别 


@ 加 密 R 
@ 加 密 R 


图 3.6 改进 的 对 称 密 钥 单 向 鉴别 图 3.7 基于 公 钥 的 单 向 鉴别 机 制 


Q@ A 向 B 发 送 一 条 消息 ,要求 进行 身份 鉴别 。 

@ B 向 A 发 送 一 个 随机 数 民 。 

@ A 用 自己 的 私 钥 DA 加 密 该 随机 数 得 到 密 文 Da(R) ,并 将 该 密 文 传输 至 B。 

@ B 使 用 A 的 公 钥 Es 解密 该 密 文 ,如 果 能 够 还 原 出 民 , 则 成 功 鉴 别 A 的 身份 。 

上 述 利用 非 对 称 密 钥 进行 身份 鉴别 的 依据 是 由 于 假定 只 有 A 拥有 自己 的 私 钥 EF, 因 
此 也 只 有 A 能 够 生成 密 文 EA CR) ,如 果 B 通 过 解密 该 密 文 得 到 尺 , 即 可 鉴别 A 的 身份 。 即 
利用 “ 私 钥 加 密 的 唯一 性 ”进行 身份 鉴别 。 和 利用 对 称 密 钥 进行 身份 鉴别 相同 ,上 述 鉴 别 过 
程 可 用 于 双向 鉴别 。 

此 外 ,利用 “ 私 钥 解 密 的 唯一 性 ”也 可 进行 身份 鉴 
别 ,如 图 3. 8 所 示 , 利 用 私 钥 解密 进行 双向 鉴别 的 例 
子 可 描述 如 下 。 

Q@ A 产生 一 个 随机 数 Rs ,将 其 和 另 一 个 变量 A 
一 起 使 用 B 的 公 钥 进行 加 密 ,形成 密 文 Es(A ,RA) ,将 
此 密 文 传输 至 B。 天 天 

@ B 利 用 自己 的 私 钥 Ds 解密 该 密 文 后 还 原 变量 图 3.8 基于 公 钥 的 双向 鉴别 
Ra ,并 将 其 和 另 一 个 随机 数 Ra ,一 个 双方 的 共享 密 钥 
Ks 一 起 ,使 用 A 的 公 钥 Es 加 密 后 形成 密 文 Ea (Ra .Rs ,Ks) ,将 该 密 文 传输 至 A。 

@ A 利用 自己 的 私 钥 DA 解密 该 密 文 ,如 果 能 还 原 出 RA , 则 其 成 功 鉴别 B 的 身份 。 

@ A 将 解密 的 随机 数 Rs 使 用 对 称 密 钥 Ks 加 密 后 传输 至 B。 

@@ B 利用 对 称 密 钥 Ks 解密 该 密 文 后 ,如 果 能 还 原 出 Rg, 则 成 功 鉴 别 A 的 身份 。 

在 @ 中 ,由 于 只 有 B 具 有 自己 的 私 钥 Ds, 因 此 只 有 B 能 够 解密 密 文 Ee(A,RA) ,还原 出 


© Ep(A,RA) 


@ Ks(Re) 
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RA ,因此 在 加 中 ,A 根据 这 种 私 钥 解密 的 唯一 性 可 以 确定 B 的 身份 。 同 理 ,在 四 中 ,只 有 A 
能 够 利用 自己 的 私 钥 Ds 解密 密 文 ECRA ,Ra ,Ks) ,还原 出 Res, 因 此 ,B 可 以 根据 这 种 私 钥 
解密 的 唯一 性 对 A 进行 身份 鉴别 。 上 述 鉴别 过 程 同时 产生 一 个 共享 密 钥 Ks, 它 可 以 在 双 
方 进行 身份 鉴别 之 后 进行 数据 加 密 , 该 对 称 密 钥 也 称 为 会 话 密 钥 。 


3.3.3 ”基于 第 三 方 的 鉴别 


基于 第 三 方 的 鉴别 是 指 通信 双 发 不 直接 进行 身份 鉴别 ,而 是 利用 一 个 双方 都 信任 的 第 
三 方 来 鉴别 身份 ,例如 使 用 密 钥 分 发 中 心 (key distribution center,KDC) 进 行 身 份 鉴别 。 

如 前 所 述 ,在 使 用 加 密 机 制 的 网 络 中 ,节点 之 间 需 要 使 用 对 方 的 密 钥 (或 双方 共享 的 密 
钥 ) 进 行 身份 鉴别 ,因此 ,为 了 和 多 个 实体 之 间 进 行 身份 鉴别 ,每 个 节点 需要 保存 多 个 对 称 或 
非 对 称 密 钥 。 为 了 减少 节点 保存 密 钥 的 数量 ,可 以 采用 一 个 可 信 的 第 三 方 一 一 密 钥 分 发 中 
心 KDC 一 一 进行 密 钥 的 保存 .分 配 和 身份 鉴别 ,该 方法 基于 对 称 加 密 。 

基于 KDC 的 鉴别 中 ,所 有 合法 用 户 的 私 钥 都 保存 在 KDC 处 。 设 两 个 用 户 A、B 需要 相 
互 鉴别 ,用 户 A 和 KDC 之 间 进 行 通信 的 对 称 密 钥 为 KA ,用 户 B 和 KDC 之 间 进 行 通信 的 对 
称 密 钥 为 Ke。A 和 也 之 间 加 密 通 信 的 会 话 密 钥 为 Ks ,此 密 钥 是 在 鉴别 发 起 方 A 向 KDC 
申请 要 求 与 B 进行 身份 鉴别 时 ,由 KDC 临时 产生 的 。 如 图 3. 9 所 示 ,基于 KDC 鉴别 过 程 
的 例子 可 描述 如 下 。 


@ 生成 AB 之 间 通 信 的 
会 话 密 钥 Ks 


O@ 请 求 与 B 通 信 
© Ka(Ks,B), Ke(Ks,A) 


A B 
四 和 解密 得 Ks 回 解密 得 As 


图 3.9 基于 KDC 的 鉴别 过 程 


Kp(Ks,A) 


QA 向 KDC 发 送 一 条 消息 ,请 求 与 B 进行 身份 鉴别 和 加 密 通信 。 

@ KDC 为 A.B 之 间 加 密 通信 生成 一 对 对 称 密 钥 Ks .生成 和 用 户 A 和 KDC 之 间 进 行 
通信 的 对 称 密 钥 K ,用户 B 和 KDC 之 间 进 行 通 信 的 对 称 密 钥 Ka 。 

@ KDC 使 用 Ks。 加密 Ks 和 代表 B 身份 的 变量 ,形成 密 文 KACKs,B); 同时 ,使 用 Ks 
加 密 Ks 和 代表 A 身份 的 变量 形成 密 文 Ks (Ks ,A), 然 后 将 此 两 密 文 发 送 至 A。 

@ A 利用 Ks 解密 Ka(Ks,B) ,取得 Ks, 和 KDC 之 间 进行 了 身份 鉴别 。 

加 B 利 用 Ks 解密 Kas(Ks,A), 取 得 Ks, 和 KDC 之 间 进 行 了 身份 鉴别 。 
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随后 ,A、B 之 间 利 用 对 称 密 钥 Ks 进行 加 密 通 信 。 

在 四 中 ,由 于 只 有 A 拥有 自己 的 私 钥 Ks ,因此 只 有 A 能 够 解密 密 文 KA(Ks,B) 得 到 
Ks; 同 理 ,在 @@ 中 ,只 有 B 拥 有 自己 的 私 钥 Ks, 因 此 只 有 B 能 够 解密 密 文 Ka (Ks,A) 得 到 
Ks。 因 此 ,通过 私 钥 解 密 的 唯一 性 ,KDC 信任 A 和 B, 又 由 于 A、B 均 信任 KDC, 因 此 ,A、B 
之 间 可 以 互相 鉴别 对 方 的 身份 。 

基于 KDC 的 鉴别 算法 包括 Needham-Schroeder 方法 以 及 扩展 的 Needham-Schroeder 
方法 。 


3.4 数字 签名 


数字 签名 提供 一 种 安全 机 制 , 对 网 络 上 传输 的 消息 提供 报 文 源 鉴 别 和 消息 完整 性 服务 。 
一 个 完整 的 数字 签名 应 提供 如 下 安全 能 力 。 

。 报 文 源 鉴 别 : 接收 方 可 以 鉴别 发 送 方 的 身份 。 

。 不 可 否认 性 : 发 送 方 不 能 否认 曾 发 送 过 该 报 文 。 

。 数据 完整 性 : 接收 方 可 以 确认 收 到 的 消息 是 未 经 算 改 的 。 

。 接收 方 自己 不 能 伪造 该 报 文 。 

传统 文字 签名 的 特点 是 签名 和 被 签名 的 文件 在 物理 上 不 可 分 割 、 签 名 者 不 能 否认 自己 
的 签名 、 签 名 不 能 被 伪造 并 且 容 易 被 验证 等 。 从 功能 上 讲 , 可 以 认为 数字 签名 是 传统 签名 的 
数字 化 ,数字 签名 可 以 和 被 签 文件 * 绑 定 ”, 证 明文 件 的 确 来 自 签名 者 ,签名 者 不 能 否认 自己 
的 签名 ,签名 容易 被 验证 并 且 签 名 不 能 被 伪造 等 。 

从 本 质 上 讲 ,数字 签名 是 一 种 附加 在 原文 件 之 上 的 附加 电子 信息 ,通常 是 能 够 确认 报 文 
来 源 即 签名 者 身份 的 信息 。 数 字 签 名 可 以 通过 对 称 密 码 体制 实现 ,也 可 以 通过 非 对 称 密码 
体制 实施 。 由 于 非 对 称 密码 体制 具有 公 钥 可 以 公开 并 被 分 发 的 特性 ,使 得 基于 公 钥 的 数字 
签名 被 广泛 使 用 。 

基于 公 钥 的 数字 签名 使 用 公 钥 密码 体制 对 文件 人 
进行 签名 ,如 图 3. 10 所 示 ,最 简单 的 公 钥 签名 过 程 可 
描述 如 下 。 AD 

Q@ Alice 用 她 的 私 钥 DA 对 文件 P 加 密 后 形成 密 
文 DA(P), 由 于 只 有 Alice 拥有 自己 的 私 钥 , 因 此 该 下 
签名 可 以 认为 是 证 明 Alice 身份 的 电子 信息 。 这 一 图 3.10 简单 的 基于 公 钥 的 签名 
加 密 过 程 也 称 为 Alice 对 原始 文件 进行 签名 。 

@ Alice 将 签名 的 文件 传输 至 Bob。 

@) Bob 用 Alice 的 公 钥 Es 解密 该 密 文 ,从 而 验证 签名 ,也 就 完成 了 对 报 文 来 源 的 鉴别 
(证 明报 文 的 确 来 自 Alice) 。 
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为 防止 签名 被 重 放 ,文件 签名 应 该 具有 时 间 标 记 , 因 为 如 果 数 字 签 名 不 包括 时 间 标 记 ， 
那么 签名 文件 就 有 可 能 被 重复 利用 。 

利用 公 钥 签名 的 算法 应 满足 条 件 : ECD(P))==P。 即 利用 私 钥 加 密 后 的 密 文 可 以 使 用 
公 钥 解密 。 

上 述 利用 公 钥 进行 签名 的 特点 是 签名 需要 对 整个 报 文 进行 非 对 称 加 密 , 加 解密 效率 低 。 

为 了 提高 签名 系统 的 效率 ,目前 普遍 采用 将 加 密 和 签名 分 开 的 方法 ,如 图 3. 11 所 示 ,其 


工作 过 程 描述 如 下 。 
| ea | 
| 1 
| rt | ! | @ 散 列 | | 
' @ 消息 @ 消息 ||! 
1 1 [ 
! 1 | ! | 1 
| 回 艇 列 ! ! 摘要 | | 
1 函数 I | 
| I ! | 
| 摘要 1 | | 
| 1 | | .| 回 解密 |_| 解密 后 | ， 
| ! | 算法 的 摘要 | 1! 
1 
1 | A 的 | .| 加 加密 | | 加密 后 | ! | 
1 | 私 钥 算法 的 摘要 ! | | 
| 1 公 钥 | | 
LE J 的 数字 ! ________ - J 
Alice Bob 


图 3.11 基于 公 钥 的 数字 签名 过 程 


@ Alice 准备 好 要 发 送 的 明文 消息 。 

@ Alice 对 该 消息 进行 哈 希 (Hash) 运 算 ,得 到 一 个 消息 摘要 。 

@ Alice 用 自己 的 私 钥 对 消息 摘要 进行 加 密 得 到 Alice 的 数字 签名 。 

@ Alice 将 签名 和 原始 明文 消息 一 起 传送 给 Bob 。 

@ Bob 使 用 Alice 的 公 钥 对 Alice 的 数字 签名 进行 解密 ,验证 Alice 的 签名 ,同时 得 到 
消息 摘要 。 

@ Bob 用 相同 的 Hash 算法 对 收 到 的 明文 再 进行 一 次 Hash 运算 ,得 到 一 个 消息 摘要 。 

@ Bob 将 @ 中 得 到 的 消息 摘要 和 @@ 中 新 产生 的 消息 摘要 进行 比较 ,如 果 一 致 ,说 明 收 
到 的 信息 没有 被 修改 过 。 

上 述 签 名 过 程 提供 了 消息 完整 性 和 报 文 源 鉴别 服务 。 其 中 报 文 源 鉴 别 通 过 @ 中 Bob 
对 Alice 的 签名 进行 验证 获得 ,而 消息 完整 性 验证 通过 四 中 对 两 次 消息 摘要 进行 比较 来 
保证 。 

上 述 签名 过 程 仅 对 一 个 固定 长 度 的 消息 摘要 采用 私 钥 ( 公 钥 密码 体制 ) 加 密 , 而 不 对 整 


第 3 章 数字 认证 技术 57 


个 报 文 进行 加 密 , 因 此 提高 了 签名 系统 的 效率 。 但 签名 过 程 不 能 保证 消息 的 机 密 性 。 实 际 
应 用 中 ,如 果 需 要 保证 消息 的 机 密 性 、 真 实 性 ( 报 文 源 鉴 别 ) ,不 可 否认 性 和 数据 完整 性 ,可 以 
采用 公 钥 签名 和 对 称 密 钥 加 密 相 结 合 的 方式 。 工 作 过 程 描 述 如 下 。 

前 三 步 和 上 述 签 名 过 程 相同 。 

@ Alice 随机 产生 一 个 对 称 加 密 密 钥 (例如 可 以 使 用 3DES 密 钥 ) ,并 用 此 密 钥 对 要 发 
送 的 原始 明文 信息 进行 加 密 , 形 成 密 文 。 

@ Alice 用 Bob 的 公 钥 对 刚才 随机 产生 的 加 密 密 钥 进行 加 密 , 将 加 密 后 的 对 称 密 钥 连 
同 密 文 以 及 加 中 Alice 对 消息 摘要 的 签名 信息 一 起 发 送 给 Bob。 

@ Bob 收 到 Alice 发 送 的 密 文 和 加 过 密 的 对 称 密 钥 ,使 用 自己 的 私 钥 对 加 密 的 对 称 密 
钥 进 行 解密 ,得 到 该 对 称 密 钥 。 

@ Bob 使 用 该 对 称 密 钥 对 收 到 的 密 文 进行 解密 ,得 到 原始 明文 信息 。 

@ Bob 使 用 Alice 的 公 钥 对 Alice 的 数字 签名 进行 解密 ,得 到 消息 摘要 。 

@ Bob 使 用 相同 的 Hash 算法 对 收 到 的 明文 再 进行 一 次 Hash 运算 ,得 到 一 个 新 的 消 
息 摘要 。 

四 Bob 将 收 到 的 消息 摘要 和 新 产生 的 消息 摘要 进行 比较 ,如 果 一 致 ,说 明 收 到 的 信息 
没有 被 修改 过 。 

基于 公 钥 的 数字 签名 使 用 的 常用 密码 算法 包括 : 

。 Diffie-Hellman。 

。 RSA。 

。 椭圆 曲线 密码 体制 (ellipse curve cryptosystem,ECC) 

.DSS, 


3.5 认证 技术 的 应 用 


3.5.1 PPP 中 的 认证 


PPP 协议 (point to point protocol) 是 Internet 工程 任务 组 (internet engineering task 
force,IETF) 推 出 的 点 到 点 类 型 线路 的 数据 链 路 层 协议 。 它 解决 了 SLIP 中 的 问题 ,并 成 为 
正式 的 因特网 标准 。 

PPP 支持 在 各 种 物理 类 型 的 点 到 点 串 行 线路 上 传输 上 层 协 议 报 文 。PPP 有 很 多 丰富 
的 可 选 特性 ,如 支持 多 协议 ,提供 可 选 的 身份 认证 服务 ,可 以 以 各 种 方式 压缩 数据 ,支持 动态 
地 址 协商 ,支持 多 链 路 捆绑 等 。 这 些 丰 富 的 选项 增强 了 PPP 的 功能 。 同 时 ,不 论 是 异步 拨 
号 线路 还 是 路 由 器 之 间 的 同步 链 路 均 可 使 用 。 因 此 ,应 用 十 分 广泛 。 

为 了 在 点 到 点 链 路 上 建立 通信 ,PPP 链 路 的 每 一 端 在 链 路 建立 阶段 必须 首先 发 送 链 路 
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控制 协议 (link control protocol,LCP) 包 进行 数据 链 路 配置 。 链 路 建立 之 后 ,PPP 提供 可 选 
的 认证 阶段 ,可 以 在 进入 (network layer protocol, NLP) 阶 段 之 前 实施 认证 。 

在 默认 情况 下 ,认证 不 是 必须 的 ,如 果 需 要 链 路 认证 ,PPP 必须 在 链 路 建立 阶段 指定 
“认证 协议 配置 ?选项 。 这 些 认 证 协议 主要 用 于 主机 和 路 由 器 ,这 些 主机 和 路 由 器 一 般 通过 
交换 电路 线 或 者 拨号 线 连 在 PPP 网 络 服务 器 上 ,但 是 也 可 以 通过 专线 实现 。 服 务 器 可 以 用 
主机 或 路 由 器 的 连接 身份 作为 网 络 层 协 商 的 选项 。 

PPP 提供 了 两 种 可 选 的 身份 认证 方法 ,包括 : 

。 密码 认证 协议 (password authentication protocol,PAP) 。 

。 质询 握手 认证 协议 (challenge handshake authentication protocol,CHAP) 。 

。 扩展 认证 协议 (extensible authentication protocol,EAP) 。 


1. PAP 认证 


PAP 是 一 个 简单 的 ,实用 的 身份 认证 协议 。PAP 认证 过 程 以 及 PPP PAP 的 工作 过 程 
分 别 如 图 3. 12 和 图 3. 13 所 示 。 采 用 PPP 协议 的 对 等 实体 首先 使 用 LCP 协议 确定 双方 的 
认证 方式 ,协商 使 用 PAP 进行 身份 认证 。 远 程 访问 服务 器 (认证 者 ) 的 数据 库 中 保存 客户 端 
(被 认证 者 ) 的 用 户 名 和 密码 ,客户 端 输入 自己 的 用 户 名 和 密码 后 ,服务 器 端 在 其 数据 库 中 进 
行 比 对 ,根据 比 对 结果 确定 是 否 通过 验证 。 


ID Password 
Twiggy LetMein 


会 @ 比较 用 户 


Twiggy ID 和 密码 
分 支 机 构 的 路 由 器 网 络 接 入 服务 器 NAS 
1 验证 请 求 
(ID=Twiggy,Password=LetMein) 
一 ® 
给 证 确认 


图 3.12 PAP 认证 过 程 


PAP 认证 进程 只 在 双方 的 通信 链 路 建立 初期 进行 。 如 果 认 证 成 功 ,在 通信 过 程 中 不 再 
进行 认证 。 如 果 认 证 失败 , 则 直接 释放 链 路 。 

PAP 的 弱点 是 用 户 名 和 密码 是 明文 发 送 的 ,有 可 能 被 协议 分 析 软 件 捕获 而 导致 安全 问 
题 。 但 是 ,因为 认证 只 在 链 路 建立 初期 进行 ,节省 了 宝贵 的 链 路 带宽 。 现 在 的 许多 拨号 网 络 
采用 PAP 协议 进行 身份 认证 ,并 且 系 统 的 用 户 名 和 密码 是 公开 的 ,服务 器 端 只 根据 链 路 建 
立 的 时 间 收 费 , 收 费 是 针对 客户 端的 电话 号 码 进 行 的 ,攻击 者 截获 密码 已 经 没有 实际 意义 ， 
因此 使 用 简单 的 验证 机 制 是 适用 的 。 

PAP 认证 可 以 在 一 方 进行 , 即 由 一 方 认证 另 一 方 身份 ,也 可 以 进行 双向 身份 认证 。 这 
时 ,要 求 被 认证 的 双方 都 要 通过 对 方 的 认证 程序 。 否 则 ,无 法 建立 两 者 之 间 的 链 路 。 
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拨号 用 户 远程 访问 服务 器 


_。 LCP 协商 采用 PAP 身 份 验证 方式 _ 


发 送 用 户 名 和 密码 


= 验证 用 户 名 和 密码 


二 一 下 证 成 功 叮 


了 
进入 NCP 阶 段 否 


1 
双方 通信 过 程 


图 3.13 PPP PAP 的 工作 过 程 
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下 面 讲 述 一 个 实际 的 使 用 PAP 进行 PPP 认证 的 例子 ,以 单方 认证 为 例 分 析 PAP 协议 


的 认证 及 配置 过 程 。 


如 图 3. 14 所 示 , 在 两 个 路 由 器 之 间 进 行 PAP 认证 。 两 个 路 由 器 Router A 和 Router B 
双方 均 封 装 了 PPP 协议 且 要 求 进行 PAP 身份 认证 ,同时 它们 之 间 的 链 路 在 物理 层 已 激活 ， 


此 时 认证 服务 器 会 不 停 地 发 送 身份 认证 要 求 ,直到 身份 认证 成 功 。 


认证 服务 器 人 要 冰 认证 客户 端 
Router A : Router B 
发 送 认证 要 求 


发 送 明 文 用 户 名 、 密 码 


身份 认证 失效 ， 继 续 认 证 身份 认证 成 功 ， 链 路 建立 


发 送 认证 要 求 


图 3.14 PAP 认证 示例 
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在 图 3. 14 中 , 当 认 证 客户 端 (被 认证 一 端 ) 路 由 器 Router B 发 送 了 用 户 名 和 密码 后 , 认 
证 服务 器 会 将 收 到 的 用 户 名 与 密码 和 本 地 数据 库 中 的 密码 信息 比 对 ,如 果 正 确 则 身份 认证 
成 功 , 通 信 双 方 的 链 路 最 终 成 功 建立 。 

如 果 被 认证 一 端 路 由 器 Router B 发 送 了 错误 的 用 户 名 或 密码 ,认证 服务 器 将 继续 不 断 
地 发 送 身份 认证 要 求 直到 收 到 正确 的 用 户 名 和 密码 为 止 。 

(1) PAP 认证 服务 器 端 配置 

PAP 认证 服务 器 的 配置 分 为 两 个 步骤 : 建立 本 地 密码 数据 库 、 要 求 进 行 PAP 认证 。 

@ 建立 本 地 密码 数据 库 

通过 全 局 模式 下 的 命令 USername username password password 来 为 本 地 密码 数据 库 
添加 记录 ,如 下 所 示 。 


RouterA(config) # username routerb password rapass 

@ 要 求 进行 PAP 认证 

这 需要 在 相应 接口 配置 模式 下 使 用 命令 ppp authentication pap 来 完成 ,如 下 所 示 。 

RouterA(config) # interface serial 0/0 

RouterA(config - if)# ppp authentication pap 

(2) PAP 认证 客户 端 配置 

PAP 认证 客户 端的 配置 只 需要 一 个 步骤 (命令 ) ,即将 用 户 名 和 密码 发 送 到 对 端 ,如 下 
所 示 。 


RouterB(config - if)#ppp pap sent - username routerb pass rapass 


2. PPP CHAP 认证 


挑战 握手 认证 协议 (CHAP) 由 RFC 1994 定义 。 

(1) CHAP 的 认证 过 程 

挑战 握手 认证 协议 通过 三 次 握手 周期 性 的 认证 对 端的 身份 ,在 初始 链 路 建立 时 完成 ,可 
以 在 链 路 建立 之 后 的 任何 时 候 重复 进行 。 

CHAP 认证 过 程 以 及 PPP CHAP 的 工作 过 程 分 别 如 图 3. 15 和 图 3. 16 所 示 。 本 地 路 
由 器 (被 认证 者 ) 和 远程 访问 路 由 器 NAS( 认 证 者 ) 之 间 使 用 PPP 协议 进行 通信 ,并 使 用 
CHAP 进行 身份 鉴别 。 在 鉴别 之 前 ,双方 数据 库 中 保存 和 对 方 通信 的 共享 密 钥 (secret) ,该 
密 钥 也 可 以 是 双方 共享 的 密码 字 。 

CHAP 的 认证 过 程 描述 如 下 。 

|@ 链 路 建立 阶段 结束 之 后 ,认证 者 向 对 端 (被 认证 者 ) 发 送 “ 挑 战 ? 消 息 。 

@ 对 端 采用 双方 的 共享 秘密 密码 作为 输入 ,对 “挑战 ”使 用 单 向 哈 希 函数 计算 出 一 个 
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Name Secret 
Loopy LetMein ID Secret 
Twiggy LetMein 
Twiggy () @ ee 
分 专机 构 hash 值 
分 支 机 构 路 由 器 NASToopy 
« 消息 ” 
挑战 消息 @ 
(ID,challenge#, Twiggy) 
ed “挑战 ”应答 
® 一 
_ 认证 成 功 消息 ® 
图 3.15 CHAP 认证 过 程 
居 PPP 开 始 
拨号 用 户 远程 访问 服务 器 


LCP 协 商 采用 CHAP 身 份 验证 方式 


用 户 名 发 送 用 户 名 用户 名 
密码 字 随机 数 一 | ”发送 随机 数 | 随机 数 ”密码 字 
MD5 密 码 生成 器 MD5 密 码 生成 器 
MD5 摘 要 链 MD5 摘 要 值 MD5 摘 要 值 | 


图 3.16 PPP CHAP 的 工作 过 程 
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@ 对 端 将 此 密 文 经 过 网 络 发 送 至 认证 者 ,作为 对 “挑战 "的 应 答 。 

由 认证 者 按照 同样 的 算法 和 输入 计算 一 个 自己 期 望 的 哈 希 值 ,通过 检查 该 值 和 应 答 消 
息 是 否 匹 配 来 决定 是 否 通 过 认证 。 

@ 通过 认证 后 ,向 对 端 发 送 “ 认 证 成 功 消息 ”, 并 进入 PPP 协议 的 NLP 阶段 ,否则 , 连 
接 被 终止 。 

经 过 一 定 的 随机 时 间 间 隔 , 认 证 者 向 对 端 发 送 一 个 新 的 “挑战 ”, 然 后 ,重复 上 述 的 第 中 一 
@@ 步 进行 下 一 轮 的 认证 过 程 。 

(2) CHAP 协议 的 安全 性 分 析 

CHAP 认证 比 PAP 认证 更 安全 ,因为 CHAP 协议 中 的 密码 保存 在 认证 对 等 端 各 自 的 
数据 库 中 ,不 在 网 络 上 传输 。 被 认证 端 发 送 的 只 是 经 过 摘要 算法 加 工 过 的 随机 序列 (挑战 字 
符 串 的 应 答 ) 。 同 时 ,在 双方 正常 通信 过 程 中 ,身份 认证 可 以 随时 进行 ,而 PAP 中 的 鉴别 只 
发 生 在 链 路 建立 阶段 。 通 过 递增 改变 的 标识 符 和 可 变 的 挑战 值 ,CHAP 可 防止 重 放 攻 击 ， 
重复 挑战 限制 了 对 单个 攻击 的 暴露 时 间 , 认 证 者 控制 挑战 的 频 度 。 

该 认证 方法 依赖 于 认证 者 和 对 端 共享 的 密 钥 ,虽然 该 认证 是 单 向 的 ,但 是 在 两 个 方向 都 
进行 CHAP 协商 .同一 密 钥 可 以 很 容易 实现 交互 认证 。 

CHAP 算法 要 求 密 钥 长 度 必 须 至 少 是 一 字 节 ,至 少 应 该 不 易 让 人 猜 出 , 密 钥 最 好 至 少 
是 哈 希 算法 (例如 MD5 的 16 字 节 ) 所 选用 的 哈 希 值 的 长 度 , 如 此 可 以 保证 密 钥 不 易 受到 穷 
举 攻击 。 所 选用 的 哈 希 算法 ,必须 使 得 从 已 知 挑战 值 和 应 答 值 来 确定 密 钥 在 计算 上 不 可 行 。 

每 一 个 挑战 值 应 该 是 唯一 的 ,否则 在 同一 密 钥 下 ,重复 挑战 值 将 使 攻击 者 能 够 用 以 前 截 
获 的 应 答 值 响应 挑战 。 由 于 希望 同一 密 钥 可 以 用 于 地 理 上 分 散 的 不 同 服务 器 的 认证 ,因此 
挑战 应 该 全 局 临时 唯一 。 

每 一 个 挑战 值 也 应 该 是 不 可 预计 的 ,否则 攻击 者 可 以 欺骗 对 端 ,让 对 端 响 应 一 个 预计 的 
挑战 值 , 然 后 用 该 响应 冒充 对 端 欺骗 认证 者 。 

虽然 CHAP 不 能 防止 实时 的 主动 搭 线 窃听 攻击 ,但 只 要 能 产生 不 可 预计 的 挑战 就 可 以 
防范 大 多 数 的 主动 攻击 。 

CHAP 对 端 系统 要 求 很 高 ,因为 需要 多 次 进行 身份 质询 、 响 应 。 这 需要 耗费 较 多 的 
CPU 资源 ,因此 只 用 在 对 安全 要 求 很 高 的 场合 。 

同 PAP 一 样 ,CHAP 认证 可 以 在 一 方 进行 , 即 由 一 方 认证 另 一 方 身份 ,也 可 以 进行 双 
向 身份 认证 。 这 时 ,要 求 被 认证 的 双方 都 要 通过 对 方 的 认证 程序 ,否则 ,无 法 建立 两 者 之 间 
的 链 路 。 

(3) 算法 协商 和 数据 包 格式 

在 使 用 CHAP 进行 验证 之 前 ,通信 对 等 体 之 间 需 要 使 用 PPP 的 “认证 协议 配置 选项 ” 
(configuration option format) 消 息 协 商 认证 协议 和 认证 算法 .“ 认 证 协议 配置 选项 ?数据 包 
格式 如 图 3. 17 所 示 。 
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类 型 长 度 认证 协议 算法 


图 3.17 认证 协议 配置 选项 数据 包 格 式 


。 类 型 (type) : 表示 认证 协议 类 型 ,CHAP 为 3。 

。 长 度 (length): 固定 为 5 个 字 节 。 

。 认证 协议 (authentication-protocol) : 对 于 CHAP 为 0xc223( 十 六 进 制 ) 。 

。 算法 (algorithm): 算法 字段 一 字 节 ,指示 所 使 用 的 认证 方法 ,至 少 应 实现 如 下 算 
法 一 一 MD5 下 的 CHAP。 

CHAP 数据 包 的 格式 如 图 3. 18 所 示 。 


代码 标识 符 长 度 数据 


图 3.18 CHAP 数据 包 格式 


CHAP 数据 包 封装 在 PPP 数据 链 路 层 帧 的 信息 域 中 , 当 PPP 帧 的 协议 字段 是 十 六 进 
制 的 0xc223 时 ,表示 PPP 帧 的 信息 字段 里 封装 了 一 个 完整 的 CHAP 报 文 。CHAP 报 文 的 
格式 描述 如 下 。 

。 代码 (code) 。 代 码 字段 ,1 字 节 ,指示 CHAP 报 文 的 类 型 ,分 配 如 下 。 

一 一 1: 挑战 (challenge)。 
一 一 2; 应 答 (response) 。 
一 一 3: 成 功 (success)。 
一 一 4: 失败 (failure) 。 
。 标识 符 (identifier) 。 标 识 符 字段 ,1 字 节 ,辅助 匹配 挑战 .应答 和 响应 。 
。 长 度 (length)。 长 度 字段 ,2 字 节 ,指示 CHAP 报 文 的 长 度 , 包 括 代 码 、 长 度 和 数据 
字段 。 超 出 长 度 的 字 节 应 该 视 为 数据 链 路 层 填充 ,接收 方 应 该 忽略 。 
。 数据 (data)。 数 据 字段 ,0 个 或 多 个 字 节 ,数据 字段 类 型 由 代码 字段 确定 。 

挑战 报 文 是 CHAP 的 开始 ,认证 者 必须 传送 代码 字段 为 1 的 CHAP 报 文 ,其 他 挑战 报 
文 必须 在 有 效应 答 报 文成 功 接收 之 后 或 重 试 计数 器 计 满 后 发 送 。 

为 了 确保 连接 没有 被 更 改 ,挑战 报 文 也 可 以 在 NLP 阶段 的 任何 时 候 发 送 。 对 端 应 该 随 
时 为 认证 阶段 和 NLP 阶段 的 挑战 做 好 准备 ,任何 时 候 收 到 挑战 报 文 ,对 端 都 必须 传送 
CHAP 应 答 报 文 。 

无 论 何 时 ,如 果 收 到 应 答 报 文 , 认 证 者 都 必须 把 应 答 值 和 自己 计算 的 预期 值 比较 ,基于 
这 种 比较 ,认证 者 必须 发 送 成 功 C(success) 或 者 失败 (failure)CHAP 报 文 。 

(4) CHAP 认证 实例 

以 单方 认证 为 例 分 析 CHAP 协议 的 认证 和 配置 过 程 。 

如 图 3. 19 所 示 ,两 个 路 由 器 之 间 封 装 了 PPP 协议 且 要 求 进行 CHAP 身份 认证 ,同时 
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它们 之 间 的 链 路 在 物理 层 激活 后 ,认证 服务 器 (认证 者 ) 会 不 停 地 向 认证 客户 端 (被 认证 者 ) 
发 送 身份 认证 要 求 直 到 身份 认证 成 功 。 和 PAP 不 同 的 是 ,这 时 认证 服务 器 发 送 的 是 “挑战 ” 


字符 串 。 


认证 服务 器 发 送 “ 挑 战 ” 字 符 串 。 认证 客户 端 


发 送 “ 挑 战 ”字符 串 


回应 “挑战 ”字符 串 


身份 认证 失效 ， 继 续 认证 身份 认证 成 功 ， 链 路 建立 


发 送 “ 挑 战 ”字符 趾 


图 3.19 CHAP 认证 示例 


这 里 的 “挑战 字 ” 包 括 会 话 ID 和 一 个 随机 字符 串 (arbitrary challenge string)。 远 程 客 
户 使 用 MD5 单 向 喻 希 算法 (one-wayhashing algorithm) 返 回 用 户 名 和 加 密 的 挑战 密码 ,会 
话 ID 以 及 用 户 密码 ,其 中 用 户 名 以 非 哈 希 方式 发 送 。 即 
Challenge = (Session ID,Challenge String) 
Response = MD5(Session ID,Challenge String,User Password) .User Name 
当 认 证 客户 端 路 由 器 Router B 发 送 了 对 ”挑战 ?字符 串 的 应 答 数据 包 后 ,认证 服务 器 按 
照 同样 的 算法 和 参数 计算 消息 摘要 以 验证 对 方 的 身份 。 如 果 正确 , 则 身份 认证 成 功 ,通信 双 
方 的 链 路 最 终 成 功 建立 。 
如 果 被 认证 方 路 由 器 Router B 发 送 了 错误 的 “挑战 "应答 数据 包 , 认 证 服务 器 将 继续 不 
断 地 发 送 身份 认证 要 求 , 直 到 收 到 正确 的 应 答 数 据 包 为 止 。 
Q@ CHAP 认证 服务 器 的 配置 。 
CHAP 认 证 服务 器 的 配置 分 为 两 个 步骤 : 建立 本 地 密码 数据 库 , 要 求 进行 CHAP 
认证 。 
。 建立 本 地 密码 数据 库 。 通 过 全 局 模式 下 的 命令 username 和 password 为 本 地 密码 
数据 库 添 加 记录 。 此 处 的 username 应 该 是 对 端 路 由 器 的 名 称 , 即 routerb, 如 下 
所 示 。 


RouterA(config) # username routerb password samepass 
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。 要 求 进行 CHAP 认证 。 这 需要 在 相应 接口 配置 模式 下 使 用 命令 ppp authentication 
chap 来 完成 ,如 下 所 示 。 

RouterA(config) # interface serial 0/0 

RouterA(config — if)# ppp authentication chap 

@ CHAP 认证 客户 端的 配置 。 

CHAP 认证 客户 端的 配置 只 需要 一 个 步骤 (命令 ), 即 建立 本 地 密码 数据 库 。 此 处 的 
username 应 该 是 对 端 路 由 器 的 名 称 , 即 routera, 而 密码 应 该 和 CHAP 认证 服务 器 密码 数据 
库 中 的 密码 相同 ,如 下 所 示 。 


RouterB(config — if)#username routera password samepass 


CHAP 认证 的 缺点 是 要 求 密 钥 以 明文 形式 存在 ,无 法 加 密 密 码 数据 库 。 在 大 型 设备 中 
不 适用 ,因为 每 个 可 能 的 密 钥 由 链 路 的 两 端 共同 维护 。 

微软 挑战 一 握手 验证 协议 (MS-CHAP) 是 对 CHAP 的 改进 。 同 CHAP 一 样 ,使 用 
MS-CHAP 时 ,NAS 会 向 远程 客户 发 送 一 个 含有 会 话 ID 和 任意 生成 的 挑战 字 串 的 挑战 密 
人 码 。 远 程 客户 必须 返回 用 户 名 以 及 经 过 喻 希 算法 加 密 的 挑战 字 串 ,会话 ID 和 用 户 密 码 的 哈 
希 值 。 采 用 这 种 方式 服务 器 端 将 只 存储 经 过 喻 希 算法 加 密 的 用 户 密码 而 不 是 明文 密码 ,这 
样 就 能 够 提供 进一步 的 安全 保障 。 此 外 ,MS-CHAP 同样 支持 附加 的 错误 编码 ,包括 密码 过 
期 编码 以 及 允许 用 户 自己 修改 密码 的 加 密 的 客户 一 服务 器 (client-server) 附 加 信息 。 使 用 
MS-CHAP ,客户 端 和 NAS 双方 各 自生 成 一 个 用 于 随后 数据 加 密 的 起 始 密 钥 。 


3. PPP EAP 认证 


PPP 扩展 认证 协议 EAP 由 RFC 2284 定义 。 

PPP 扩展 认证 协议 EAP 也 可 以 用 于 PPP 认证 , 它 并 不 是 一 种 具体 的 认证 方法 ,而 是 一 
种 认证 机 制 ,可 以 支持 多 种 认证 方法 ,包括 一 次 性 密码 OTP、 挑 战 握手 认证 协议 CHAP 等 。 
EAP 并 不 在 链 路 控制 阶段 指定 认证 方法 ,而 是 把 这 个 过 程 推 迟到 认证 阶段 。 这 样 认证 方 就 
可 以 在 要 求 更 多 的 信息 以 后 再 决定 使 用 什么 认证 方法 。 这 种 机 制 就 允许 使 用 一 台 “ 后 端 ” 服 
务 器 (back-end server) 来 真正 执行 认证 机 制 ,而 PPP EAP 认证 方 只 是 向 该 服务 器 传递 认证 
交换 信息 。 

EAP 协议 的 要 点 及 工作 过 程 描 述 如 下 。 

g@ 在 链 路 建立 阶段 完成 以 后 ,认证 方向 对 端 发 送 一 个 或 多 个 请 求 报 文 去 认证 节点 。 在 
请 求 报 文中 有 一 个 类 型 字段 用 来 指明 认证 方 所 请 求 的 信息 ,该 字段 实际 上 即 对 应 不 同 的 认 
证 方法 ,例如 是 ID .MD5 的 挑战 字 (PPP CHAP) 、 一 次 密码 COTP) 以 及 通用 令 牌 卡 等 。 
MD5 的 挑战 字 对 应 于 CHAP 认证 协议 的 挑战 字 。 通 常 认 证 方 首先 发 送 一 个 初始 的 ID 请 
求 随后 再 发 送 其 他 的 请 求 信息 。 当 然 , 这 个 ID 请 求 报 文 并 不 是 必需 的 ,在 对 端 身份 是 已 知 
的 情况 下 (如 租用 线 .拨号 专线 等 ) 可 以 跳 过 这 个 步骤 。 
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@ 端点 对 每 一 个 请 求 报 文 回应 一 个 应 答 包 。 和 请 求 报 文 一 样 ,应 答 报 文中 也 包含 一 个 
类 型 字段 ,对 应 于 所 回应 的 请 求 报 文中 的 类 型 字段 。 

@ 认证 方 通过 发 送 一 个 成 功 或 者 失败 的 报 文 来 结束 认证 过 程 。 

和 CHAP 相同 ,EAP 也 使 用 PPP 的 “认证 协议 配置 选项 ”消息 协商 认证 协议 (如 图 3. 18 所 
示 ), 对 于 PPP 中 的 EAP, 认 证 协议 字段 (authentication-protocol) 为 C227 (十 六 进 制 )。 
EAP 数据 包 格 式 和 CHAP 类 似 ( 如 图 3. 20 所 示 )。 数 据 包 类 型 也 分 为 请 求 、 应 答 、 成 功 和 
失败 4 种 。 

其 中 ,请 求 和 应 答 数 据 包 的 格式 如 图 3. 20 所 示 。 类 型 字段 类 型 (type) 占 一 个 字 节 。 这 
个 字段 表示 请 求 或 者 应 答 的 信息 类 型 。 每 一 种 EAP 请 求 或 者 应 答 报 文 必须 指定 并 且 也 只 
能 指定 一 种 类 型 。 该 类 型 实际 对 应 一 种 认证 方法 。 一 般 情况 下 ,应 答 报 文中 的 类 型 字段 和 
请 求 报 文 中 的 类 型 字段 是 相同 的 ,但 是 还 存在 一 种 为 NAK 的 应 答 类 型 用 来 表示 对 端 不 接 
受 请 求 报 文中 的 信息 类 型 。 当 对 端 用 NAK 报 文 应 答 请 求 报 文 的 时 候 , 对 端 可 以 同时 提供 
一 个 它 所 支持 的 信息 类 型 供认 证 者 选择 。 


代码 标识 符 长 度 类 型 数据 


图 3.20 ”EAP 数据 包 格 式 


类 型 字段 包括 如 下 几 种 。 

。 标识 (identity)。 

。 通知 Cnotification) 。 

。 否定 NAK( 只 用 在 应 答 报 文中 ) 。 

。 MD5 挑战 字 (MD5-challenge) 。 

。 一 次 密码 (one-time password,OTP) 。 

。 通用 令 牌 卡 (generic token card)。 

其 中 ,MD5 挑战 字 和 PPP 的 CHAP 协议 中 的 挑战 字 类 似 , 使 用 MD5 算法 。 在 类 型 为 
MD5 挑战 字 的 请 求 报 文中 包含 一 个 “挑战 ”信息 ,对 端 收 到 这 个 请 求 报 文 后 必须 发 送 一 个 应 
答 报 文 ,应 答 报 文 的 信息 类 型 可 以 是 4(MD5 挑战 字 ) 或 者 3( 和 否定 ) ,在 NAK 应 答 报 文中 对 
端 同时 也 标明 了 它 所 期 待 的 认证 机 制 的 类 型 值 。 所 有 的 EAP 实现 必须 支持 MD5 挑战 字 
算法 。 

字段 类 型 为 5 时 ,请 求 报 文中 包含 一 个 可 显示 的 信息 作为 一 次 密码 (OTP) 的 挑战 字 ， 
说 明 双 方 采用 OTP 作为 实际 的 身份 认证 方法 。 对 端 收 到 这 种 请 求 报 文 后 必须 发 送 一 个 应 
答 报 文 ,应 答 报 文 的 类 型 值 也 必须 设 为 5(OTP) 或 者 3(NAK) .在 NAK 应 答 报 文中 对 端 同 
时 也 标明 了 它 所 期 待 的 认证 机 制 的 类 型 值 。 同 时 ,在 请 求 报 文中 ,类 型 数据 字段 (type-data) 
包含 一 个 可 显示 的 信息 作为 一 次 密码 (OTP) 的 挑战 字 。 在 应 答 报 文中 类 型 数据 字段 用 于 
填充 从 OTP 目录 中 得 到 的 一 次 性 密码 。 
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字段 类 型 为 6 时 ,代表 使 用 通用 令 牌 卡 进行 身份 鉴别 。 该 鉴别 方法 适用 于 各 种 需要 用 
户 输入 信息 的 令 牌 卡 的 实现 。 在 请 求 报 文中 包含 一 段 ASCII 文本 信息 ,而 应 答 报 文中 包含 
用 于 认证 的 令 牌 卡 信息 。 典 型 的 , 令 牌 卡 信息 由 用 户 从 令 牌 卡 设备 上 读 取 得 到 并 作为 
ASCII 文本 输入 。 在 该 请 求 报 文中 ,类 型 数据 字段 包含 一 段 长 度 大 于 零 的 可 显示 的 信息 , 它 
的 长 度 可 以 从 报 文 的 长 度 字段 中 计算 得 到 。 对 端 收 到 这 种 请 求 报 文 以 后 必须 发 送 一 个 类 型 
值 为 6( 通 用 令 牌 卡 ) 的 报 文 作为 应 答 ,应 答 报 文中 包含 用 于 认证 的 令 牌 卡 信息 ,其 长 度 也 可 
以 从 报 文 的 长 度 字段 中 计算 得 到 。 

图 3. 21 中 给 出 了 一 个 使 用 EAP 进行 身份 鉴别 的 例子 。 


一 全 一 加 一 章 


SS 实体 
EAP server 
EAP-Request(Type=Identity) 
EAP-Response(Type=Identity with ID info、 
转发 至 EAP server 


同心 在 远程 通信 空 休 
转发 至 远程 通信 实体 EAP-Request(Type=OTP with challenge) 


EAP-Response(Type=OTP with OTP info) 转发 至 EAP server 
il a sent hat dl han tk 
转发 至 远程 通信 实体 EAP-Success(Type=None) 


图 3.21 PPP EAP 认证 过 程 


EAP 的 优点 是 可 以 支持 多 种 认证 机 制 ,而 无 须 在 LCP 阶段 预 协商 过 程 中 指定 。 某 些 
设备 (如 网 络 接 入 服务 器 NAS) 不 需要 关心 每 一 个 请 求 报 文 的 真正 含义 ,而 是 作为 一 个 代理 
把 认证 报 文 直接 传输 给 后 端的 认证 服务 器 。 设 备 只 需 关 心 认证 结果 是 成 功 还 是 失败 ,然后 
结束 认证 阶段 。 并 且 , 由 于 使 用 专门 的 后 端 服务 器 进行 验证 ,使 得 远程 访问 服务 器 RAS 在 
验证 系统 升级 后 不 需要 更 换 。 

EAP 的 缺点 是 EAP 需要 在 LCP 中 增加 一 个 新 的 认证 协议 ,这 样 现 有 的 PPP 实现 要 想 
使 用 EAP 就 必须 进行 修改 。 同 时 ,使 用 EAP 也 和 现 有 的 在 LCP 协商 阶段 指定 认证 方法 的 
模型 不 一 致 ,因为 它 不 在 链 路 控制 阶段 指定 认证 方法 ,而 是 把 这 个 过 程 推迟 到 认证 阶段 由 
EAP 协议 来 确定 。 


3.5.2 AAA 协议 及 其 应 用 


认证 ,授权 和 记 账 (authentication,authorization,accounting, AAA), 它 在 鉴别 的 同时 
提供 授权 和 计 费 功能 。 其 典型 的 应 用 实例 包括 TACACS 十 和 RADIUS 协议 。 

实施 AAA 的 网 络 拓扑 如 图 3. 22 所 示 。 系 统 中 有 用 户 .AAA 客户 端 和 AAA 服务 器 三 
个 角色 。 用 户 通过 公共 网 络 ( 例 如 图 中 的 拨号 网 络 或 Internet) 访 问 远 程 服务 器 (network 
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access server,NAS)。NAS 可 以 是 拨号 服务 器 、VPN 服务 器 或 无 线 访 问 点 ,NAS 作为 
AAA 的 客户 端 ,接收 用 户 信息 (例如 用 户 密码 字 或 对 挑战 的 应 答 ) 并 将 用 户 信息 发 送 至 
AAA 服务 器 , 即 RADIUS 或 RADIUS 服务 器 。 它 们 作为 AAA 的 服务 器 端 ,提供 身份 认 
证 ,授权 和 记 账 服务 。 


NAS( 客 户 端 ) -| RADUIS/TACACS+ 


(服务 器 ) 
图 3.22 实施 AAA 的 网 络 拓扑 
1. RADIUS 
RADIUS 由 RFC 2865“ 远 程 身份 验证 拨 入 用 户 服务 (RADIUS)” 和 RFC 2866“RADIUS 记 
账 ” 定 义 。 


RADIUS(remote authentication dial in user service) 协 议 最 初 是 由 Livingston 公司 提 
出 的 ,最 初 是 为 拨号 用 户 进行 认证 和 计 费 设计 的 ,后 来 经 过 多 次 改进 ,形成 了 一 项 通用 的 认 
证 计 费 协议 。RADIUS 认证 要 用 到 基于 挑战 /应 答 (challenge/response) 的 认证 方式 。 

RADIUS 是 一 种 C/S 结构 的 协议 , 它 的 客户 端 最 初 就 是 NAS(net access server) 服 务 
器 ,现在 任何 运行 RADIUS 客户 端 软件 的 计算 机 都 可 以 成 为 RADIUS 的 客户 端 。 
RADIUS 协议 认证 机 制 灵活 ,可 以 采用 PAP、CHAP 或 者 UNIX 登录 认证 等 多 种 方式 。 
RADIUS 是 一 种 可 扩展 的 协议 , 它 进行 的 全 部 工作 都 是 基于 Attribute-Length-Value 的 向 
量 进行 的 。 

RADIUS 的 基本 工作 原理 是 用 户 接 入 NAS. NAS 向 RADIUS 服务 器 使 用 Access- 
Require 数据 包 提 交 用 户 信息 , 包 括 用 户 名 密码 等 相关 信息 ,其 中 用 户 密 码 是 经 过 MD5 加 
密 的 ,双方 使 用 共享 密 钥 ,这 个 密 钥 不 经 过 网 络 传 播 ; RADIUS 服务 器 对 用 户 名 和 密码 的 合 
法 性 进行 检验 ,必要 时 可 以 提出 一 个 Challenge, 要 求 进一步 对 用 户 认证 ,也 可 以 对 NAS 进 
行 类 似 的 认证 ; 如 果 合 法 ,给 NAS 返回 Access-Accept 数据 包 , 人 允许 用 户 进行 下 一 步 工作 ， 
否则 返回 Access-Reject 数据 包 ,拒绝 用 户 访问 ; 如 果 人 允许 访问 ,NAS 向 RADIUS 服务 器 提 
出 计 费 请 求 Account-Require, RADIUS 服务 器 响应 Account-Accept, 对 用 户 的 计 费 开始 ， 
同时 用 户 可 以 进行 自己 的 相关 操作 。 

RADIUS 服务 器 支持 各 种 用 户 身 份 认 证 方法 ,如 PPP、 密 码 验 证 协议 (PAP)、 质 询 握手 
验证 协议 (CHAP) 、Unix 登录 及 其 他 认证 机 制 。 

RADIUS 协议 中 ,验证 和 授权 是 组 合 在 一 起 的 。 如 果 验 证 通过 ,RADIUS 服务 器 将 返 
回 一 个 Access-Accept 响应 ,其 中 包括 一 些 参数 (属性 - 值 对 ) ,以 保证 对 该 用 户 的 访问 。 这 些 
参数 是 在 RADIUS 中 配置 的 ,包括 访问 类 型 .协议 类 型 .IP 地 址 以 及 一 个 访问 控制 列表 
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(ACL) 或 要 在 NAS 上 应 用 的 静态 路 由 等 。 

RADIUS 服务 器 和 NAS 服务 器 通过 UDP 协议 进行 通信 ,RADIUS 服务 器 的 1812 端 
口 负责 认证 ,1813 端口 负责 计 费 工作 。 采 用 UDP 的 基本 考虑 是 因为 NAS 和 RADIUS 服 
务 器 大 多 在 同一 个 局 域 网 中 ,使 用 UDP 更 加 快捷 方便 。 

典型 的 通信 过 程 如 图 3. 23 所 示 。 远 程 用 户 (user) 使 用 PPP 协议 访问 拨号 服务 器 
(NAS) ,NAS 是 RADIUS 客户 端 ,用 户 信息 存放 在 RADIUS 服务 器 中 。NAS 和 RADIUS 
服务 器 之 间 拥 有 事先 协商 产生 的 共享 密 钥 Cshared secret) 。 其 通信 过 程 描述 如 下 。 

共享 密 钥 人 


NAS RADIUS 服务 8 
Po RADIUS 客户 端 服务 器 
E 嘱 


远程 


图 3.23 RADIUS 通信 过 程 


@ 远程 用 户 向 NAS 发 起 PPP 身份 认证 请 求 , 在 请 求 报 文中 指明 认证 方式 ,例如 采用 
PAP 或 CHAP 等 。 该 报 文 不 是 RADIU 协议 数据 包 , 而 是 封装 在 PPP 报 文中 的 鉴别 请 求 
消息 ,通信 过 程 类 似 CHAP 和 PAP。 

@ NAS 根据 具体 认证 方式 向 远程 服务 器 进行 应 答 。 例 如 ,若是 PAP 认证 , 则 提示 远 
程 用 户 输入 用 户 名 和 密码 (PAP ID/PASSWORD); 若是 CHAP 则 向 远程 用 户 发 送 一 个 
“挑战 字 ”(challenge) 。 

@ 远程 用 户 向 NAS 产生 应 答 。 例 如 ,若是 PAP 则 发 送 自己 的 用 户 名 和 密码 (PAP 
ID/PASSWORD); 若是 CHAP 则 发 送 一 个 “挑战 "应答 (challenge response) 。 

@ NAS 将 从 图 中 收 到 的 远程 用 户 的 密码 (或 挑战 应 答 ) ,以 及 远程 用 户 的 用 户 名 等 封 
装 成 RADIUS 消息 (ACCESS-REQUEST 消息 ) ,发 送 至 RADIUS 服务 器 进行 身份 鉴别 和 
授权 请 求 。 这 里 ,NAS 将 在 ACCESS-REQUEST 消息 中 加 密 远 程 用 户 的 密码 (例如 针对 
PAP 的 明文 密码 ) 。 加 密 时 使 用 MD5 算法 ,并 使 用 NAS 和 RADIUS 服务 器 之 间 的 共享 密 
钥 (shared secret) 作 为 参数 。 这 样 做 的 目的 是 防止 密码 明文 传输 ,同时 RADIUS 服务 器 也 
可 以 鉴别 NAS 的 身份 (通过 双方 的 共享 密 钥 ) 。 

@ RADIUS 收 到 该 ACCESS-REQUEST 消息 后 ,根据 自己 数据 库 中 保存 的 用 户 信息 
和 密码 字 对 远程 用 户 进行 身份 鉴别 (若是 PAP 协议 中 加 密 后 的 密码 则 采用 同样 的 算法 计算 
摘要 值 进行 比 对 ; 若是 CHAP 中 的 挑战 应 答 消 息 , 则 根据 CHAP 算法 计算 消息 摘要 值 ), 决 
定 鉴别 和 授权 结果 。 然 后 将 鉴别 结果 封装 为 RADIUS 消息 (access accept 或 access reject) 
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发 送 至 NAS。 
@ NAS 根据 该 鉴别 和 授权 结果 ,决定 向 远程 用 户 提供 何 种 服务 。 
在 NAS 和 RADIUS 服务 器 之 间 通 信 的 RADIUS 协议 的 消息 格式 如 图 3. 24 所 示 。 
RADIUS 报 文 封装 在 UDP 报 文 的 数据 域 中 , 它 的 UDP 目的 端口 号 是 1812 。 
。 代 码 域 (code), 标 识 RADIUS 消息 的 类 型 ,如 
ACCESS-REQUEST、ACCESS-ACCEPT、ACCESS- 三代 码 域 | 标识 符 | ”长 度 


REJECT, 计 费 请 求 和 计 费 应 答 等 。 认证 字 
。 标识 符 (identifier) ,用 于 匹配 请 求 和 回应 报 文 。 如 属性 


果 在 一 个 很 短 的 时 间 内 接收 到 相同 的 源 IP 地 址 、 
源 UDP 端口 号 和 相同 的 Identifier 域 的 请 求 报 文 ， 
RADIUS 服务 器 就 可 以 认为 是 重复 的 请 求 报 文 。 
长 度 域 ,包括 Code 域 ,Identifier 域 、Length 域 .Authenticator 域 和 属性 域 在 内 的 总 
长 度 。 如 果 包 的 实际 长 度 小 于 长 度 域 中 给 出 的 值 , 该 包 必须 被 静默 丢弃 。 报 文 的 最 
小 长 度 是 20 字 节 ,最 大 长 度 是 4096 字 节 。 
认证 字 (authenticator) ,该 域 的 值 用 来 鉴别 服务 器 的 应 答 报 文 ,并 且 用 在 用 户 密码 的 
隐藏 算法 中 。 包 括 请 求 认证 字 应答 认 证 字 ,管理 提示 等 。 
属性 字段 ,针对 不 同 报 文 具有 不 同 取 值 ,例如 对 于 ACCESS-REQUEST ,该 字段 包 
括 用 户 名 和 密码 等 信息 。 

例如 ,远程 用 户 使 用 PAP 身份 认证 方式 ,用 户 名 是 nemo,NAS 的 卫 地 址 为 192. 168. 0. 16， 
端口 号 为 3。 此 时 ,NAS 获得 了 用 户 名 和 密码 (password), 则 在 上 述 第 4 步 中 , 它 向 
RADIUS 服务 器 发 送 的 access-request 消息 格式 如 下 。 


图 3.24 RADIUS 消息 格式 


Code = 1(Access— Request) 


ID = 0 

Length = 56 

Request Authenticator(NAS 产生 的 16 字 节 的 随机 数 ) 
属性 字段 (Attributes) 包 括 : 

User — Name = "nemo" 


User — Password 

NAS— IP— Address = 192.168.0.16 

NAS— Port = 3 

其 中 ,加 密 的 密码 (user-password) 的 值 通过 如 下 方法 计算 。 

@ 将 从 远程 用 户 获得 的 密码 字 (password) 填 充 至 16 字 节 ,得 到 Padded-password。 

@ 产生 16 字 节 的 随机 数 将 该 随机 数 和 共享 密 钥 (shared password) 一 起 计算 MD5 消 
息 摘要 , 即 Hashl 一 MD5(random# ,secret)。 

@ 将 以 上 结果 进行 异 或 运算 ,得 到 加 密 密 码 ,携带 在 属性 字段 的 User-password 中 传 
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递 至 服务 器 端 。 即 User-password 王 hashl XOR Padded-password 。 

由 于 加 密 密 码 计算 中 使 用 的 随机 数 将 携带 在 Request Authenticator 中 传递 至 服务 器 ， 
服务 器 可 以 采用 相同 的 算法 计算 出 该 消息 摘要 ,并 和 加 密 密 码 进行 比 对 ,根据 比 对 结果 决定 
是 否 通过 对 远程 用 户 的 身份 认证 。 

对 于 CHAP 认证 方式 ,NAS 从 远程 用 户 处 得 到 的 是 一 个 挑战 应 答 ,该 值 是 经 过 CHAP 
加 密 后 的 消息 摘要 。 这 种 情况 下 ,NAS 直接 将 该 挑战 应 答 以 及 用 户 名 和 CHAP ID 等 值 传 
递 给 服务 器 ,不 再 对 该 挑战 应 答 进行 加 密 。 服 务 器 根据 用 户 名 从 其 数据 库 中 取得 用 户 密码 ， 
并 采用 CHAP 算法 计算 消息 摘要 进行 比 对 。 

RADIUS 协议 应 用 范围 很 广 , 包 括 普 通电 话 、 上 网 业务 计 费 、VPN 服务 中 根据 不 同 用 
户 分 配 不 同 权限 .无 线 宽带 接 人 认证 与 计 费 等 。Windows Server 的 身份 验证 服务 器 IAS 即 
可 以 配置 为 RADIUS 服务 器 。RAS 和 IAS 配合 可 以 为 VPN 和 PPP 拨号 用 户 提供 AAA 
服务 。 另 外 ,有 许多 开源 的 RADIUS 服务 器 可 以 配置 在 Linux 或 UNIX 系统 中 ,例如 ， 
FreeRADIUS 可 以 安装 并 配置 在 Linux 下 。 

下 面 讲述 一 个 使 用 RADIUS 进行 AAA 的 应 用 示例 ,该 示例 中 ,通过 AAA 协议 的 实施 
可 以 完成 如 下 用 户 需 求 。 

。 用 户 通过 拨号 验证 访问 公司 内 部 网 。 

。 带 无 线 支持 的 笔记 本 电脑 可 以 通过 无 线 验 证 连接 到 校园 网 。 

。 管理 员 使 用 他 们 的 工作 站 安全 登录 到 网 络 设备 上 进行 网 管 配置 。 

所 有 这 些 验 证 任务 都 通过 RADIUS 服务 器 ,并 基于 一 个 中 央 LDAP 服务 器 来 完成 。 

网 络 拓扑 如 图 3. 25 所 示 。NAS 提供 拨号 服务 ,WAP 提供 无 线 接 入 服务 ,由 LDAP 服 
务 器 完成 实际 的 验证 过 程 。NAS 和 WAP 均 采 用 硬件 设备 实现 (如 Cisco 路 由 器 和 Cisco 


人 


LDAP 服 务 器 


路 由 器 欠 m 
一 入 


RADIUS 服 务 器 


PPP/PAP 


PSTN 


工作 站 交换 机 接 入 服务 器 
yy) 802.1X/LEAP 


无 线 接 入 点 
图 3.25 通过 RADIUS 和 LDAP 实施 AAA 示例 
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1200 series AP) ,通过 安装 在 Linux 系统 中 的 FreeRADIUS 实现 RADIUS 服务 器 。 图 中 的 
NAS 也 可 以 使 用 Windows 的 远程 访问 服务 器 RAS(Remote Access Server) 代 替 。 

FreeRADIUS 是 开放 源码 的 一 种 Linux 下 的 RADIUS 服务 器 ,可 用 于 分 布 式 和 异 构 计 
算 环境 。FreeRADIUS 支持 LDAP、MySQL、PostgreSQL 和 Oracle 数据 库 , 并 与 EAP 和 
Cisco LEAP 等 网 络 协议 兼容 。FreeRADIUS 目前 被 部 署 在 很 多 大 型 生产 网 络 系 统 中 。 

为 了 实现 AAA 功能 ,需要 配置 RADIUS 服务 器 以 及 NAS 和 WAP。 

(1) 服务 器 端 配置 

RADIUS 服务 器 的 配置 在 Linux 服务 器 上 进行 ,包括 对 服务 器 .客户 端 (NAS 和 WAP) 
和 用 户 的 配置 。 

。 首先 要 将 服务 器 配置 为 使 用 LDAP 进行 身份 认证 。 

。 客户 机 主要 配置 RADIUS 服务 器 和 NAS 客户 端 之 间 的 共享 密 钥 ( 密 码 字 ) ,如 : 


client 192.168.0.1 ( 


secret = mysecretl 
shortname = myserver 
nastype = other 


} 


。 为 验证 和 授权 配置 用 户 信息 。 

(2) NAS 客户 端 配置 

在 网 络 访问 服务 器 中 需要 指明 RADIUS 服务 器 的 IP 地 址 以 及 服务 器 的 共享 密 钥 , 然 
后 还 需要 配置 使 用 RADIUS 进行 验证 ,授权 和 记 账 。 

aaa new — model 

radius - server host 192.168.0.100 

radius - server key mysecret1 

(3) WAP 客户 端 配置 

WAP 配 置 类 似 于 NAS, 需 要 指明 : 

。 服务 器 名 或 IP 地 址 和 共享 的 密 钥 。 

。 选择 Radius 作为 验证 类 型 。 


2. CISCO TACACS 十 

如 图 3. 26 所 示 ,TACACS 十 的 通信 过 程 描述 如 下 。 

@ 用 户 向 PPP 发 出 认证 请 求 。 

@ NAS 发送 START 包 到 TASACS 十 Server。 

@@ TASACS 十 Server 回应 GETUSER 包 , 包 含 username/password(PAP) 或 challenge 
(CHAP) 的 提示 信息 。 

@ NAS 将 响应 显示 给 用 户 。 
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共享 密 钥 ”全 
© TASACS+ 服 务 器 


图 3.26 TACACS 十 通信 过 程 


@ 用 户 回 应 NAS。 

@ NAS 发 送 加 密 的 包 到 TASACS 十 Server。 

@ TASACS 十 Server 回应 NAS 认证 结果 。 

@ NAS 和 TASACS 十 Server 交换 授权 信息 和 应 答 。 

@ NAS 根据 所 交换 的 授权 信息 作出 反应 。 

和 RADIUS 协议 类 似 ,TACACS 十 在 客户 机 和 服务 器 之 间 具 有 共享 密 钥 ,通过 该 共享 
密 钥 互 相 鉴 别 , 并 加 密 通 信 过 程 。 其 中 ,密码 计算 过 程 描述 如 下 。 

© Hashl = MD5(session ID, secret,version# ,seq# )。 

© Hash2 = MD5(hashl ,session ID,version# ,seq# )。 

@ 重复 指定 次 数 。 

@ 最 后 一 个 散 列 值 被 填充 或 截取 到 和 被 加 密 数据 相同 的 长 度 ,该 过 程 称 为 伪 填 充 
(pseudo-pad) 。 

@ 将 数据 和 伪 填 充 的 值 进 行 异 或 得 到 密 文 。 此 密 文 在 客户 端 (NAS) 和 TACACS 十 服 
务 器 之 间 传 输 。 

TACACS 十 和 RADIUS 的 比较 如 下 。 

。 TACACS 十 使 用 TCP 协议 ,而 RADIUS 使 用 UDP 协议 。 

。 RADIUS 为 工业 标准 ,并 由 RFC 定义 ,而 TACACS 十 是 Cisco 特有 的 。 

。 在 客户 端 和 RADIUS 服务 器 之 间 的 消息 ,RADIUS 只 加 密 密 码 , 而 TACACS 十 则 
加 密 整 个 数据 包 。 


3.5.3 ”Kerberos 鉴别 
Kerberos 协议 是 为 TCP/IP 网 络 设计 的 、 以 可 信 第 三 方 为 基础 的 认证 协议 ,最 初 由 


MIT 开发 , 它 基 于 Needham-Sehroeder 协议 ,并 在 Needham-Schroeder 协议 中 引入 了 时 间 
难处 理 机 制 ,使 用 的 是 对 称 密 钥 体 系 。 
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Kerberos 建立 了 一 个 中 心 认证 服务 器 KDC 向 用 户 和 服务 器 提供 相互 认证 ,保证 只 有 
通过 认证 的 用 户 才 能 访问 服务 器 ,以 防止 未 授权 访问 。Kerberos 采用 对 称 密 钥 体制 (支持 
DES 算法 ,也 可 用 其 他 算法 代 蔡 ) 对 信息 进行 加 密 。 其 基本 思想 是 : 用户 在 对 应 用 服务 器 进 
行 访问 之 前 ,必须 先 从 第 三 方 (Kerberos 服务 器 ) 获 取 该 应 用 服务 器 的 访问 许可 证 ( 即 票 据 ， 
ticket) 。 

目前 该 协议 已 经 有 5 个 版 本 ,其 中 V1 到 V3 是 内 部 开发 版 ,V4 是 1988 年 开发 的 ,而 
V5 对 V4 中 的 某 些 安全 缺陷 做 了 改进 ,并 于 1994 年 作为 RFC 标准 公布 。 目 前 ,Kerberos 
协议 已 被 广泛 应 用 于 多 种 操作 系统 ,如 Windows、FreeBSD 中 用 来 进行 身份 认证 。 

Kerberos 的 设计 是 针对 如 下 安全 需求 提出 的 。 

。 安全 性 : 网 络 中 的 窃听 者 不 能 获得 必要 的 信息 以 假冒 合法 用 户 。 

。 可 靠 性 : 对 基于 Kerberos 访问 的 所 有 服务 来 说 ,Kerberos 系统 的 瘫痪 意味 着 它 所 

支持 的 所 有 服务 的 瘫痪 。 因 此 Kerberos 服务 应 该 是 高 度 可 靠 的 ,应 使 用 一 个 分 布 
式 服务 结构 实现 该 服务 。 

。 透明 性 : 认证 过 程 对 用 户 透 明 , 用 户 访问 系统 时 ,只 需要 输入 原始 密码 。 

。 可 扩展 性 : 系统 应 能 够 支持 多 种 用 户 和 应 用 服务 器 。 

Kerberos 的 设计 基于 以 下 前 提 实 现 。 

。 用 户 必须 在 会 话 开 始 时 向 服务 器 证 明 自 己 的 身份 。 

。 用 户 的 密码 不 能 以 明文 形式 在 网 络 中 传输 。 

。 每 个 用 户 和 服务 器 之 间 都 拥有 访问 系统 所 使 用 的 密码 。 

。 只 有 认证 服务 器 (authentication server,AS) 拥 有 所 有 用 户 和 服务 器 的 密码 。 

Kerberos 协议 中 使 用 的 符号 说 明 如 下 。 

。C: 客户 端 (client) 。 

。 KDC; 票据 分 发 中 心 ,包括 AS。 

。 AS: 认证 服务 器 (authentication server) 。 

。 TGS: 票据 分 发 服务 器 (ticket granting server) 。 

。 S: 应 用 服务 器 (server) 。 

。TSi: 第 i 个 时 间 戳 。 

。 Lifetimei: 第 i 个 有 效 生 存 期 限 。 

。 Addr: 客户 端 C 的 IP 地 址 。 

。 Authenticatori : 第 i 个 认证 符 。 

。 Kc: 客户 端 C 的 密 钥 。 

。 Kw: tgs 的 密 钥 。 

。 Ks: 应 用 服务 器 S 的 密 钥 。 

。 Kc,ws: 客户 端 C 和 tgs 共享 的 会 话 密 钥 。 

。 Kc,s: 客户 端 C 和 应 用 服务 器 S 共享 的 会 话 密 钥 。 
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。 TGT: 用 于 访问 TGS 的 票据 。 

。 Ts: 用 于 访问 应 用 服务 器 S 的 票据 。 

。 {M}Kx: 用 密 钥 Kx 对 报 文 M 进行 加 密 。 

说 明 : 在 AS 服务 器 中 ,保存 有 Kc ,Ke 和 Ks 密 钥 ,AS 服务 器 分 别 与 客户 端 .TGS 服 
务 器 和 应 用 服务 器 共享 这 些 密 钥 。 

如 图 3. 27 所 示 ,客户 端 C 要 访问 应 用 服务 器 S, 需 要 
进行 6 次 协议 交换 ,协议 交换 过 程 如 下 。 

第 一 阶段 (AS 交换 ): 客户 端 从 AS 处 获取 TGT。 

(1) C—>AS: C,TGS, Addr, TS, 

客户 端 向 AS 发 出 访问 TGS 的 请 求 , 请 求 报 文 包括 客 
户 端 的 名 字 、TGS 的 名 字 、 客 户 端的 IP 地 址 以 及 时 间 戳 。 
时 间 崔 TS, 用 于 向 AS 表示 这 一 请 求 是 新 的 。 请 求 报 文 以 
明文 方式 发 送 。 

(20 SECRETGT 
其 中 ,TGT 为 {TGS,C,Addr, TS, ,Lifetime,, Ke,ws) Kw。 

AS 收 到 客户 端 请 求 报 文 后 ,产生 随机 会 话 密 钥 Kc.ws 和 TGS 的 票据 TGT, 用 客户 端的 
密 钥 Kc 加 密 后 作为 应 答 报 文 。 会 话 密 钥 Kc,ws 用 于 客户 端 和 TGS 之 间 进 行 加 密 通 信 。 
TGT 的 内 容 包 括 : TGS 的 名 字 客户 端的 名 字 、 客 户 端的 IP 地 址 .时 间 戳 有效 生存 期 限 ， 
以 及 会 话 密 钥 Kc,ws ,这 些 数据 使 用 TGS 的 密 钥 Ki 进行 加 密 , 以 保证 只 有 TGS 才能 解密 

AS 向 客户 端 发 出 应 答 ,应 答 内 容 使 用 客户 端的 密 钥 Ke 加 密 , 使 得 只 有 客户 端 C 才能 
解密 该 报 文 的 内 容 , 即 通过 解密 该 密 文 ,AS 可 以 鉴别 客户 端的 身份 。 

客户 端 收 到 AS 返回 的 应 答 报 文 后 .用 自己 的 密 钥 Kc 进行 解密 ,得 到 TGS 的 票据 
TGT ,客户 端 在 下 一 步 就 可 以 把 TGT 发 送 给 TGS 来 证 明 自 己 具 有 访问 TGS 的 合法 身份 。 
客户 端 同时 从 AS 处 得 到 自己 与 TGS 的 会 话 密 钥 人 ce ,用 它 来 与 TGS 进行 加 密 通 信 。 

第 二 阶段 (TGS 交换 ) : 客户 端 从 TGS 处 获取 访问 应 用 服务 器 的 票据 Ts 。 

(3) C 一 二 TGS:S,TGT,Authenticatom 

其 中 ,Authenticator 为 {C,Addr,TSs} Kc,ws。 

客户 端 向 TGS 发 送 访问 应 用 服务 器 S 的 请 求 报 文 , 报 文 内 容 包 括 要 访问 的 应 用 服务 器 
S 的 名 字 ,TGS 的 票据 TGT 以 及 认证 符 。 

TGT 的 内 容 用 TGS 的 密 钥 Ke 加 密 , 只 有 TGS 才能 解 开 该 密 文 。 

认证 符 的 内 容 包括 客户 端的 名 字 客户 端的 IP 地 址 以 及 时 间 戳 ,认证 符 的 内 容 用 客户 
端 和 TGS 的 会 话 密 钥 进 行 加 密 ,以 保证 只 有 TGS 才能 解密 。 

票据 TGT 可 以 重复 使 用 且 有 效 期 较 长 ,而 认证 符 只 能 使 用 一 次 而 且 有 效 期 很 短 。 

TGS 收 到 客户 端 发 来 的 请 求 报 文 后 ,用 自己 的 密 钥 Ke 对 票据 TGT 进行 解密 处 理 , 得 


图 3. 27 Kerberos 认证 流程 图 
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知客 户 端 C 已 经 从 AS 处 得 到 与 自己 的 会 话 密 钥 Kc,w, ,此 处 票据 TGT 的 含义 为 “使 用 
Kc,wws 的 客户 端 是 C”。TGS 用 Kew 解密 认证 符 ,并 将 认证 符 中 的 数据 与 TGT 中 的 数据 进 
行 比较 ,从 而 可 以 相信 TGT 的 发 送 者 C 就 是 TGT 的 实际 持 有 者 。 

说 明 : 此 处 的 票据 TGT 并 不 能 证 明 任何 人 的 身份 ,只 是 用 来 安全 地 分 配 密 钥 ,而 认证 
符 则 用 来 证 明 客户 端的 身份 。 因 为 认证 符 只 能 被 使 用 一 次 而 且 其 有 效 期 很 短 , 所 以 可 以 防 
御 针 对 票据 和 认证 符 的 盗用 。 

(4) TGS—~>C: {Kce,s, Ts} Ke,ws 

其 中 ,Ts 是 用 于 访问 应 用 服务 器 S 的 票据 ,内 容 为 {S,C,Addr,TS, ,Lifetime, , Kc,s} Ks。 

TGS 检验 客户 端的 合法 身份 之 后 ,产生 随机 会 话 密 钥 Kc,s ,该 密 钥 用 于 客户 端 C 和 应 
用 服务 器 S 进行 加 密 通 信 , 同 时 产生 用 于 访问 应 用 服务 器 S 的 票据 Ts ,Ts 的 内 容 包括 : 应 
用 服务 器 的 名 字 客户 端的 名 字 、 客 户 端的 IP 地 址 .时 间 戳 ,有效 生 存 期 和 会 话 密 钥 Kc,s， 
Ts 的 内 容 用 应 用 服务 器 S 的 密 钥 Ks 加 密 , 以 保证 只 有 S 才能 解密 。 会 话 密 钥 Kc,s 和 票据 
Ts 组 成 TGS 的 应 答 报 文 , 该 应 答 报 文 用 客户 端 C 和 TGS 的 会 话 密 钥 Kc,ws 加 密 , 以 保证 只 
有 客户 端 C 才能 解密 。TGS 将 该 应 答 报 文 发 送 给 客户 端 C。 

客户 端 C 收 到 TGS 的 应 答 报 文 后 ,用 会 话 密 钥 Kc.ws 对 报 文 进行 解密 ,可 以 得 到 访问 
应 用 服务 器 S 的 票据 Ts ,以 及 与 S 进行 加 密 通信 的 会 话 密 钥 Kc,s。 只 有 合法 用 户 C 才能 解 
密 该 报 文 的 内 容 。 

第 三 阶段 (客户 端 一 服务 器 认证 交换 ): 客户 端 和 服务 器 相互 验证 身份 。 

(5) C—>S; S,Ts,Authenticator, 

其 中 ,Authenticators 的 内 容 为 {C,Addr. TS;})Kece,s。 

客户 端 C 向 应 用 服务 器 S 发 送 请 求 报 文 , 报 文 的 内 容 包括 应 用 服务 器 的 名 字 , 用 于 访 
问 应 用 服务 器 S 的 票据 Ts 以 及 认证 符 。 

Ts 的 内 容 是 用 应 用 服务 器 S 的 密 钥 Ks 加 密 的 ,只 有 S 才能 解密 。 

认证 符 的 内 容 包 括 客 户 端的 名 字 ,客户 端的 IP 地 址 .时 间 戳 .认证 符 的 内 容 用 客户 端 和 
应 用 服务 器 的 会 话 密 钥 加 密 ,以 保证 只 有 应 用 服务 器 S 才能 解密 。 票 据 Ts 可 以 重复 使 用 
且 有 效 期 较 长 ,而 认证 符 只 能 使 用 一 次 而 且 有 效 期 很 短 。 

应 用 服务 器 S 收 到 客户 端 发 来 的 请 求 报 文 后 ,用 自己 的 密 钥 Ks 对 票据 Ts 进行 解密 处 
理 , 得 知客 户 端 C 已 经 从 TGS 处 得 到 与 自己 的 会 话 密 钥 Kc.s ,此 处 票据 Ts 的 含义 为 “使 用 
Kc,s 的 客户 端 是 C”。S 用 Kc,s 解 密 认 证 符 , 并 将 认证 符 中 的 数据 与 Ts 中 的 数据 进行 比较 ， 
从 而 可 以 相信 Ts 的 发 送 者 C 就 是 Ts 的 实际 持 有 者 ,客户 端 C 的 身份 得 到 了 验证 。 

(6) S—>C:{TSs+1}Kce,s 

应 用 服务 器 S 检验 认为 客户 端 C 身份 合法 之 后 ,对 从 认证 符 中 得 到 的 时 间 戳 TS: 加 1， 
然后 用 与 客户 端 C 共享 的 会 话 密 钥 Kc,s 加 密 后 作为 应 答 报 文 发 给 客户 端 。 该 应 答 报 文 只 
有 客户 端 C 才能 解密 。 

客户 端 C 收 到 应 用 服务 器 S 发 来 的 应 答 报 文 后 ,用 会 话 密 钥 Kc.s 进 行 解密 后 ,对 应 等 
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报 文中 增加 的 时 间 戳 进行 验证 ,验证 通过 后 ,应 用 服务 器 S 的 身份 也 得 到 了 验证 。 
整个 协议 交换 过 程 结束 以 后 ,客户 端 和 应 用 服务 器 之 间 就 拥有 了 共享 的 会 话 密 钥 ,双方 
随后 可 以 用 该 会 话 密 钥 来 进行 加 密 通 信 或 者 交换 新 的 会 话 密 钥 。 


3.5.4 S/KEY 一 次 性 密码 鉴别 


如 前 所 述 ,防止 密码 猜测 和 字典 攻击 的 方法 是 使 用 OTP 一 次 性 密码 鉴别 技术 。 目 前 
互联 网 上 普遍 使 用 Bellcore 的 S/KEY 一 次 性 密码 系统 对 付 字典 攻击 。 

S/KEY 由 IETF RFC 2289、RFC 2243 和 RFC 2444 等 定义 。 

S/KEY 系统 使 用 一 个 秘密 的 通行 词 ( 密 码 字 ) 产 生 一 系列 一 次 性 密码 。 

系统 包括 两 个 实体 : 客户 端 ( 被 认证 者 ) 有 一 个 专门 计算 密码 的 密码 生成 器 ,认证 方 有 
一 个 密码 验证 服务 器 ,其 交互 过 程 描述 如 下 。 

(1) 第 一 阶段 : 初始 化 

如 图 3. 28 所 示 ,客户 端 和 服务 器 拥有 相同 的 密码 字 。 客 户 端 向 服务 器 发 送 一 个 S/KEY 
初始 化 消息 。 服 务 器 端 进行 应 答 ,应 答 消 息 包括 一 个 种 子 (seed) 和 一 个 序列 号 , 即 迭 代 值 
(iteration) ,同时 还 包括 算法 标识 符 。 

密码 初始 化 


密码 初始 化 


客户 端 NAS S/KEY 服 务 器 
S/Key 初 始 化 报 文 


pe 


应 管 (seed=6FCA.sequence num=98) 


图 3.28 初始 化 S/KEY 交换 


应 答 数 据 包 格式 为 {算法 标识 符 } {序列 号 ) {种子 }。 其 中 : 

。 算 法 标识 符 指定 发 生 器 计算 密码 所 用 的 算法 。 

。 序列 号 为 一 整数 n。 

。 种子 (seed) 是 1 一 16 位 字母 与 数字 组 成 的 字符 串 。 

(2) 第 二 阶段 : S/KEY 密码 计算 

如 图 3. 29 所 示 , 发 生 器 生成 一 次 性 密码 的 过 程 如 下 。 

Q@ 初始 化 : 发 生 器 将 通行 词 与 种 子 相 连 形成 字符 串 S, 作 为 算法 输入 。 通 行 词 应 该 避 
免 使 用 短 密码 ,以 抵御 遍历 搜索 和 字典 攻击 。 种 子 的 加 入 可 以 增加 系统 的 安全 性 ,使 得 用 户 
可 以 在 多 台 机 器 上 使 用 同一 个 通行 词 .通过 改变 种 子 的 值 ,用 户 可 以 安全 地 重复 使 用 通 
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图 3.29 S/KEY 密码 计算 


行 词 。 

@ 密码 计算 : 发 生 器 采用 指定 的 单 向 函数 将 S 经 车 十 遍 计 算 ( 这 里 为 n 次) 生成 一 系 
列 密码 。 第 一 次 使 用 的 密码 是 S 经 遍 单 向 函数 计算 得 到 的 结果 , 即 hash, (S), 下 一 次 使 
用 的 密码 则 是 S 经 一 1 阶 单 向 函数 计算 所 得 的 值 , 即 hash,-1(S)。 以 此 类 推 ,由 于 单 向 函 
数 具 有 不 可 逆 性 ,攻击 者 即使 能 侦 听 密码 的 输出 ,也 不 能 伪造 下 一 次 使 用 的 密码 ,目前 OTP 
系统 支持 的 单 向 函数 有 MD4 和 MD5 。 

@ 输出 : 单 向 函数 计算 的 输出 长 度 为 64 位 ,这 一 长 度 可 保证 密码 系统 的 安全 性 。 发 生 
器 将 输出 的 结果 表示 为 十 六 进 制 数列 或 6 词 序列 两 种 形式 返回 给 服务 器 。 

(3) 第 三 阶段 : S/KEY 密码 验证 

如 图 3. 30 所 示 ,服务 器 将 对 客户 端的 密码 进行 验证 。 服 务 器 维护 一 个 数据 库 , 保 存 用 
户 上 一 次 鉴别 成 功 的 密码 和 对 应 的 序列 号 。 对 于 客户 端 响应 的 密码 ,服务 器 先 将 其 解码 为 
64 位 的 密 钥 ,然后 执行 一 次 哈 希 函数 计算 , 若 结果 与 保存 的 密码 匹配 , 则 鉴别 成 功 ,保存 新 
密码 ; 否则 ,验证 失败 。 
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图 3.30 S/KEY 密码 验证 
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本 章 实 验 


. 利用 密码 破解 工具 对 简单 密码 进行 破解 。 

. 利用 Java 和 C++ 提供 的 API 编程 实现 签名 、 加 密 功 能 。 

. 利用 FREE BSD 的 OPIE 配置 和 实现 一 次 性 密码 鉴别 。 

. 在 Linux 系统 上 配置 RADIUS 服务 器 ,实现 对 用 户 的 认证 .授权 和 记 账 。 


WD- 


思考 题 


1. 基于 对 称 密 钥 的 鉴别 和 基于 公 钥 的 鉴别 的 基础 和 假设 条 件 分 别 是 什么 ? 从 本 质 上 
看 ,这 两 种 鉴别 方法 有 什么 联系 ? 

2. 单一 身份 鉴别 和 报 文 鉴别 的 主要 区 别 是 什么 ? 

3. Hash、HMAC 和 MAC 之 间 的 区 别 是 什么 ”其 中 哪 一 种 机 制 既 可 以 进行 报 文 源 鉴 
别 ,又 可 以 进行 数据 完整 性 验证 ?为 什么 ? 

4. Kerberos 鉴别 中 的 许可 证 (或 票据 ticket) 的 作用 是 什么 ? 在 系统 中 共有 几 对 密 钥 ， 
它们 分 别 如 何 产 生 ? 作用 分 别 是 什么 ? 

5. 基于 挑战 /应 答 的 鉴别 和 一 次 一 密 密 码 OTP 分 别 采用 什么 方法 增强 密码 系统 的 安 
全 性 ,两 者 各 有 什么 优点 和 缺点 ? 

6. S/KEY 一 次 性 密码 鉴别 机 制 中 的 “种 子 ” 有 什么 作用 ? 


证 4 于 ; 


公约 基础 设施 


4.1 PKI 概述 


公 钥 密码 体制 可 广泛 用 于 加 密 、 身 份 认证 .数字 签名 等 多 种 安全 服务 。 但 是 , 当 提 供 安 
全 服务 的 应 用 系统 达到 一 定 规模 后 , 公 钥 的 分 发 和 管理 就 成 为 一 项 十 分 繁杂 的 工作 。 传 统 
公 钥 密码 体制 面临 的 另 一 个 挑战 是 公 钥 的 可 信和 问题 , 即 如 何 确定 获得 的 公 钥 不 是 假冒 的 。 
为 了 解决 公 钥 的 分 发 .管理 以 及 安全 性 等 问题 ,目前 广泛 采用 公 钥 基础 设施 (public key 
infrastructure, PKI) 技 术 。PKI 是 一 种 使 用 公 钥 密码 体制 实施 和 提供 安全 服务 的 具有 普遍 
性 的 安全 基础 设施 。PKI 采用 固定 的 格式 封装 公 钥 ,把 用 户 的 公 钥 和 用 户 的 其 他 标识 信息 
(如 公 钥 持 有 者 的 名 字 序列 号 和 有 效 期 等 ) 捆 绑 在 一 起 ,并 使 用 一 个 可 信 的 机 构 在 Internet 
上 进行 发 布 。 利 用 PKI 基础 设施 可 以 有 效 管理 密 钥 ,并 提供 公 钥 加 密 和 数字 签名 服务 , 保 
证 网 上 数字 信息 传输 的 机 密 性 、 真 实 性 、 完 整 性 和 不 可 否认 性 。 

目前 ,PKI 实现 的 通用 方法 是 采用 第 三 方 可 信和 机构 一 一 认证 中 心 (certificate authority， 
CA) 把 用 户 的 公 钥 封装 为 数字 证 书 ,并 利用 CA 对 证 书 进行 签名 、 管 理 和 分 发 。 这 样 , 公 角 
可 以 使 用 PKI 的 数字 证 书 获取 ,而 不 必 使 用 副本 或 电子 邮件 等 方式 分 发 给 需要 使 用 的 
用 户 。 

如 图 4. 1 所 示 ,数字 证 书 类 似 于 一 个 证 明 身 份 的 证 件 。 数 字 证 书 的 基本 内 容 和 实际 的 
证 书 类 似 ,包括 主体 名 、 发 布 者 、 公 钥 和 签名 等 。 

。 主体 名 (subject name) 是 该 证 书 拥有 者 的 名 字 , 类 似 于 证 件 上 证 件 持 有 者 的 名 字 。 

。 发 布 者 (issuer) 是 签发 该 证 书 的 CA ,在 实用 系统 中 ,CA 是 一 个 用 来 产生 ,保存 、 管 

理 和 发 放 证 书 的 服务 器 。 
。 公 和 钥 (public key) 是 证 书 拥有 者 的 公 钥 。 
。 签名 (signature) 是 发 布 该 证 书 的 CA 的 数字 签名 ,用 来 确认 证 书 的 合法 性 , 即 证 书 
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图 4.1 数字 证 书 示 意图 


的 确 是 由 该 CA 签发 的 。 签 名 类 似 实际 证 书 中 发 证 机 关 的 签 章 。 证 书 的 使 用 者 在 
进行 证 书 验证 时 ,首先 需要 验证 CA 的 签名 。 

X. 509 是 目前 广泛 使 用 的 证 书 格式 之 一 ,当然 还 有 其 他 格式 的 证 书 , 如 PGP 证 书 。 在 
X. 509 证 书 体制 中 ,所 有 的 证 书 都 符合 ITU-T X. 509 国际 标准 。 因 此 从 理论 上 讲 ,为 一 种 
应 用 创建 的 证 书 可 以 用 于 任何 其 他 符合 X. 509 标准 的 应 用 ,从 而 实现 不 同 PKI 系统 证 书 之 
间 的 相互 操作 。 

PKI 中 证 书 的 应 用 和 公 钥 系统 中 公 钥 的 使 用 相同 。 用 于 加 密 时 ,加 密 前 用 户 A 需 获取 
通信 对 等 实体 B 的 证 书 , 经 过 证 书 有 效 性 验证 后 ,从 证 书 中 取出 B 的 公 钥 ,使 用 B 的 公 钥 对 
数据 进行 加 密 ,将 加 密 信息 发 送 给 B,B 使 用 自己 的 私 钥 进行 解密 。 用 于 签名 时 ,用 户 A 使 
用 自己 的 私 钥 进 行 签名 ,签名 的 验证 者 B 首先 获取 A 的 证 书 , 经 过 证 书 有 效 性 验证 后 ,从 证 
书 中 取出 A 的 公 钥 ,使 用 该 公 钥 对 签名 进行 验证 ,以 确认 A 的 身份 。 

通过 自动 管理 密 钥 和 证 书 ,PKI 可 以 为 用 户 构建 一 个 安全 的 网 络 运行 环境 ,使 用 户 可 以 
在 多 种 应 用 环境 下 方便 地 使 用 加 密 和 数字 签名 技术 ,从 而 保证 数据 的 机 密 性 、 完 整 性 和 有 效 
性 。 一 个 有 效 的 PKI 系统 必须 是 安全 和 透明 的 ,用 户 在 获得 加 密 和 数字 签名 服务 时 ,不 需 
要 详细 地 了 解 PKI 是 怎样 管理 证 书 和 密 钥 的 。 一 个 典型 .完整 有效 的 PKI 应 用 系统 至 少 
应 具备 以 下 功能 : 

。 证 书 管理 。 

。 黑 名 单 的 发 布 和 管理 。 

。 密 钥 的 备份 ,恢复 以 及 自动 更 新 。 

。 自动 管理 历史 密 钥 。 

。 支持 交叉 认证 。 


82 计算 机 网 络 安全 一 协议 、 技 术 与 应 用 


4.2 PKI 技术 发 展 及 应 用 现状 


自 20 世纪 90 年 代 初期 以 来 ,作为 电子 商务 信息 安全 的 关键 和 基础 性 技术 的 PKI 逐步 
得 到 了 许多 国家 的 政府 和 企业 的 广泛 重视 ,PKI 技术 由 理论 研究 进入 到 商业 化 应 用 阶段 。 
在 这 一 时 期 ,IETF ISO 等 机 构 陆 续 颁 布 了 X. 509、PKIX、PKCS、S/MIME、SSL、SET、 
IPSec 和 LDAP 等 PKI 应 用 相关 标准 .RSA、VeriSign、Entrust 和 Baltimore 等 企业 纷纷 推 
出 了 自己 的 PKI 产品 和 服务 。 一 些 大 的 厂商 ,如 Microsoft、Netscape、Novel 和 Sun 等 ,都 
开始 在 自己 的 网 络 基 础 设施 产品 中 增加 PKI 功能 。 

PKI 技术 经 过 近 10 年 的 发 展 已 日 趋 成 熟 ,许多 新 技术 还 在 不 断 涌现 ,CA 之 间 的 信任 
模型 .使 用 的 加 解密 算法 、 密 钥 管 理 的 方案 等 也 在 不 断 变化 之 中 。 例 如 ,为 了 确保 电子 交易 
的 不 可 否认 性 ,基于 第 三 方 的 时 间 蕉 (timestamp) 服 务 正在 引起 人 们 极 大 的 关注 。 在 PKI 
的 CA 网 络 模型 方面 ,除了 传统 的 层次 结构 (hierarchy) 和 对 等 结构 (peer to peer) 以 外 ,还 出 
现 了 桥 CA(bridge CA) 的 概念 。PKI 的 应 用 也 已 覆盖 了 安全 电子 邮件 .虚拟 专用 网 络 
(virtual private network,VPN)、Web 交互 安全 .电子 数据 交换 、Internet 上 的 信用 卡 交 易 
等 ,涉及 电子 商务 .电子 政务 和 电子 事务 安全 等 诸多 领域 ,形成 了 年 营业 额 达 数 亿美 元 的 大 
产业 ,PKI 具有 非常 广阔 的 市 场 应 用 前 景 。 

加 拿 大 .美国 .欧盟 等 国家 和 地 区 也 相继 建立 了 自己 的 PKI 体系 ,银行 .证 券 . 保 险 和 电 
信 等 行业 的 用 户 开始 接受 并 使 用 PKI 技术 。 其 他 国家 和 地 区 也 纷纷 开始 PKI 技术 的 应 用 ， 
涌现 出 了 众多 的 认证 中 心 对 外 提供 PKI 服务 ,促进 了 整个 PKI/CA 行业 的 发 展 。 

这 些 国家 和 地 区 开展 的 PKI 服务 都 有 一 些 共 同 的 特点 : 政府 支持 和 授权 ; 由 政府 有 关 
部 门 实行 统一 的 审核 管理 ; 由 政府 有 关 部 门 或 民间 有 关 组 织 制定 和 发 布 电子 交易 法 令 法 规 
和 认证 中 心 认证 管理 办 法 ; 采用 有 关 国 际 组 织 发 布 的 技术 和 操作 标准 与 协议 ; 认证 中 心 的 
设立 需 根 据 有 关 法 令 法 规 严格 审批 。 以 上 做 法 为 规范 .安全 .有 效 地 运作 PKI/CA 奠定 了 
可 靠 的 基础 。 

韩国 是 亚洲 PKI 技术 开发 较 早 , 且 体 系 相对 完善 的 国家 。 韩 国 的 认证 架构 主要 分 三 个 
等 级 : 最 上 一 级 是 信息 通信 部 (ministry of information and communication ,MIC) ,中 间 是 
由 信息 通信 部 设立 的 国家 CA 认证 中 心 , 最 下 一 级 是 由 信息 通信 部 指定 的 下 级 授权 认证 机 
构 (licensed certificate authority,LCA)。 信 息 通 信 部 还 负责 相关 政策 的 制定 和 执行 ,以 及 
与 国外 的 交叉 认证 ; 认证 中 心 则 承担 根 CA 的 运作 和 对 LCA 的 评估 、 支 持 。 与 此 同时 , 韩 
国 还 在 1999 年 成 立 了 国际 CA 认证 中 心 。 

日 本 的 PKI 管理 架构 也 很 有 特色 。 首 先 . 它 们 的 应 用 体系 按 公 众 和 私人 两 大 领域 来 划 
分 。 其 次 ,把 公众 领域 的 应 用 又 进一步 进行 细 分 ,主要 分 成 商业 、 政 府 与 公众 管理 内 务 、 电 信 
邮政 三 大 块 。 不 同 的 领域 适用 不 同 的 认证 规则 ,比如 在 公众 领域 的 三 大 块 当 中 ,就 分 别 采用 
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商业 注册 ,政府 PKI 以 及 数字 签名 法 ,而 私人 领域 则 建立 了 一 种 专门 的 私人 PKI 标准 。 

一 些 国家 和 地 区 ,如 美国 欧盟、 德国 .日 本 和 新 加 坡 等 ,还 相继 通过 了 《电子 (数字 ) 签 名 
法 ) 等 PKI 相关 法 律 ,在 法 律 上 赋予 了 数字 签名 与 传统 手工 签名 的 同等 地 位 ,意味 着 网 上 证 
券 交 易 、 网 上 签约 和 网 上 政府 采购 等 网 上 交易 行为 都 可 以 通过 电子 签名 来 完成 , 极 大 地 推动 
了 PKI 技术 的 应 用 。 

随 着 PKI 技术 的 发 展 以 及 市 场 前 景 的 日 渐 广阔 ,一 些 有 实力 的 企业 也 纷纷 投入 到 这 个 
行业 中 ,成 为 专业 的 PKI 产品 与 服务 提供 商 , 不 断 推出 新 的 产品 与 服务 ,为 PKI/CA 行业 的 
发 展 推波助澜 。 在 国际 上 ,美国 的 VeriSign、 加 拿 大 的 Entrust Technologies 和 爱尔兰 的 
Baltimore Technologies 是 目前 为 止 全 球 最 大 的 三 家 PKI 产品 与 服务 提供 商 。 

我 国 的 PKI 应 用 虽然 起 步 较 晚 , 但 PKI 行 业 的 发 展 还 是 十 分 迅速 的 。 国 内 的 认证 中 
心 可 分 为 三 大 类 : 行业 性 认证 中 心 、 区 域 性 认证 中 心 和 纯 商 业 性 认证 中 心 。 其 中 ,行业 性 
认证 中 心 主要 为 特定 行业 的 PKI 应 用 提供 服务 ,如 中 国 金 融 认证 中 心 (China Firarcial 
Certification Authority, CFCA )、 中 国电 信 认 证 中 心 (China Telecom Certification 
Autharity,CTCA)。 区 域 性 认证 中 心 主 要 为 当地 及 周边 的 用 户 提 供 PKI 服务 ,如 北京 数字 
证 书 认证 中 心 (Beijing Certificate Authority, BJCA) 、 上 海 市 电子 商务 安全 证 书 管理 中 心 有 
限 公 司 (Shanghai Electrohil Certificate Authority, SHECA)、 重 庆 数 字 证 书 认 证 中 心 
(Chongqing Certificate Authority, CQCA) 和 广东 省 电子 商务 认证 中 心 (Certification and 
Accreditation Aclministration of the People’ Republil of China, CNCA)。 除 了 前 两 类 认证 
中 心 以 外 ,国内 还 有 少数 纯 商 业 性 认证 中 心 ,如 iTruschina CA。 


4.3 PKI 体系 结构 一 一 PKIX 模型 


PKI 是 面向 大 型 开放 互连网 络 应 用 环境 的 公开 密 钥 管理 机 制 , 它 是 用 以 创建 ,管理 , 存 
储 , 分 配 和 撤销 基于 非 对 称 加 密 体制 的 公 钥 证 书 的 一 组 硬件 、 软 件 、 人 员 、 政 策 和 规程 的 集 
合 。PKI 系统 中 ,所 有 用 户 建立 自己 的 非 对 称 密 钥 对 ,并 使 用 全 域 用 户 公认 可 信 的 第 三 
方 一 一 认证 中 心 CA 来 证 明 其 公 钥 的 可 靠 性 。 因 此 ,PKI 系统 的 目标 就 是 向 开放 网 络 环境 
中 的 用 户 和 应 用 程序 提供 可 靠 的 公开 密 钥 管 理 服 务 .确保 用 户 能 在 开放 的 网 络 环境 中 获得 
真实 可 靠 的 公开 密 钥 。 

为 了 实现 这 一 目标 ,IETF(Internet engineering task force) 于 1995 年 10 月 成 立 PKIX 
(public key infrastructure X. 509) 工 作 组 ,用 来 规定 以 X. 509 作为 证 书 的 PKI 系统 的 证 书 
概要 文件 集合 和 操作 模型 。PKIX 为 不 同 的 应 用 领域 创建 了 PKI 模型 ,并 提出 了 基本 PKI 
系统 的 体系 结构 。 

PKIX 工作 组 提出 的 基本 PKI 系统 由 以 下 几 类 实体 组 成 : 认证 中 心 、 注 册 中 心 
(registration authority, RA, 是 一 个 可 选 实体 )、 终 端 实体 EE (end entity) 和 证 书库 
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(repository) ,其 基本 结构 如 图 4. 2 所 示 。 


Pe 初始 化 注册 


总 密 钥 对 恢复 /更 新 PKI 用 户 
人 证 书 恢复 /撤销 
站 PKI 管 理 实体 
ee 
征 RA 一 
书 “| 。 证书 发 滑 
撤 奶 
名 和 
让 
下 | CA-1 
全 “| 证 所 /证书 撤销 列表 发 布 
| 交叉 认证 
CA-2 
图 4.2 PKIX 模型 中 定义 的 PKI 体系 结构 
(1) 终端 实体 


终端 实体 又 称 端 用 户 或 终端 用 户 ,指证 书 的 申请 者 和 持 有 者 , 即 证 书 格式 中 的 主体 
(subject)。 在 实际 系统 中 , 端 用 户 可 以 是 任何 一 个 使 用 证 书 的 实体 ,例如 一 个 WWW 服务 
带 、IE 浏览 器 \ 特 定 的 应 用 系统 或 程序 等 ,其 身份 可 以 是 个 人 、 团 体 和 组 织 等 。 

为 了 保证 PKI 系统 的 安全 性 , 端 用 户 需 要 构建 自身 的 安全 环境 ,以 保证 其 安全 地 访问 
一 些 重要 信息 ,如 端 用 户 的 私 钥 \ 它 信任 的 CA 的 名 字 以 及 该 CA 的 公 钥 等 。 对 于 不 同 的 应 
用 系统 ,这 些 安全 环境 可 采用 不 同 的 方式 实现 。 例 如 ,可 以 使 用 经 过 加 密 的 文件 或 防 自 改 的 
密码 令 牌 (cryptographic tokens) 等 本 地 安全 存储 方式 来 实现 终端 实体 机 密 信息 的 存储 。 端 
用 户 自 身 安全 性 的 实现 方式 和 程度 不 属于 PKI 体系 的 定义 范围 ,由 各 应 用 系统 根据 自身 安 
全 需求 确定 并 实现 。 

如 果 证 书 的 申请 者 本 身 是 一 个 CA, 则 端 用 户 即 是 该 CA ,其 证 书 按照 CA 的 层次 关系 
(参见 4.5 节 ) 由 其 上 级 CA 进行 签发 。 

(2) 认证 中 心 

认证 中 心 作为 权威 的 .可 信赖 的 第 三 方 机 构 ,负责 签发 和 管理 所 有 参与 网 上 交易 的 实体 
所 需 的 数字 证 书 。 在 实际 应 用 系统 中 ,CA 的 功能 由 一 个 专门 的 服务 器 (如 OpenCA、 
Windows server CA 或 用 户 自主 开发 的 CA 服务 器 ) 实 现 , 用 户 自主 开发 CA 时 ,其 核心 功 
能 可 以 通过 开源 的 程序 组 件 (如 opensslD) 实 现 。 

认证 中 心 是 电子 商务 体系 中 的 核心 环节 ,是 实现 可 信和 电子 交易 的 基础 。 它 通过 自身 的 
注册 审核 体系 ,检查 核实 进行 证 书 申请 的 用 户 身 份 和 各 项 相关 信息 ,使 证 书 中 标识 的 信息 与 
网 上 交易 的 用 户 的 属性 一 致 。 认 证 中 心 保 证 数字 证 书 中 列 出 的 公 钥 持 有 者 的 确 是 其 对 应 公 
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钥 的 真实 拥有 者 ,同时 ,认证 中 心 对 所 签发 的 数字 证 书 进行 数字 签名 ,使 得 攻击 者 不 能 伪造 
和 得 改 证 书 , 从 而 解决 了 公 钥 体系 中 公 钥 的 合法 性 和 可 信 性 的 问题 。 此 外 ,CA 还 提供 证 书 
发 放 .证 书 更 新 .证 书 撤销 和 证 书 查询 等 多 种 证 书 管理 功能 。 

概括 地 讲 , 认 证 中 心 的 主要 功能 如 下 : 

Q@ 证 书 申请 处 理 : 接收 用 户 数字 证 书 的 申请 。 

@ 证 书 审批 : 验证 申请 者 身份 ,确定 是 否 接受 其 数字 证 书 申请 。 

@ 证 书签 发 : 为 终端 实体 创建 证 书 并 对 证 书 进行 签名 ,然后 向 申请 者 颁发 数字 证 书 。 

@ 证 书 更 新 服务 : 对 用 户 的 数字 证 书 进行 更 新 。 

@ 目录 服务 : 提供 用 户 数 字 证 书 的 查询 。 

@ 证 书 撤销 服务 : 接受 并 处 理 用 户 的 证 书 撤销 请 求 。 

@ 产生 和 发 布 证 书 废止 列表 (certificate revocation list, CRL): 对 于 已 经 被 撤销 的 证 
书 , 如 果 该 证 书 还 在 有 效 期 内 , 则 CA 需要 将 其 置 于 CRL 中 。 

@ 数字 证 书 的 归档 : 对 过 期 和 已 废止 的 数字 证 书 进行 归档 。 

@ 密 钥 管 理 : 负责 自身 及 其 下 属 CA 的 密 钥 管理 。 

@ 历史 数据 归档 : 对 各 种 历史 数据 进行 归档 。 

(3) 注册 中 心 

对 于 一 个 复杂 的 系统 ,可 以 把 证 书 注册 和 管理 等 部 分 功能 从 CA 中 剥离 出 来 ,使 用 一 个 
独立 的 注册 机 构 RA 来 实现 。 将 RA 作为 端 用 户 和 CA 之 间 的 一 个 接口 ,完成 和 端 用 户 交 
互 的 部 分 证 书 管理 功能 。 

注册 中 心 的 具体 功能 实现 ,不 同 应 用 系统 有 所 不 同 ,一 般 来 说 ,注册 中 心 具有 如 下 功能 。 

。 自身 密 钥 的 管理 : 包括 密 钥 的 更 新 .保存 .使 用 和 销毁 等 。 

。 审核 端 用 户 信 息 : 收集 端 用 户 信息 ,并 进行 证 书 申请 者 的 身份 确认 。 

。 接收 端 用 户 的 证 书 申请 。 

。 接收 并 输出 证 书 撤销 请 求 。 

。 发 布 有 效 证 书 列表 。 

对 于 一 个 实际 的 PKI 应 用 系统 ,注册 中 心 是 一 个 可 选 的 实体 , 它 可 以 独立 于 CA 单独 
存在 ,也 可 以 是 CA 的 一 部 分 。PKI 国际 标准 和 RFC 文档 推荐 由 独立 的 RA 来 完成 证 书 的 
注册 管理 功能 ,以 增强 应 用 系统 的 安全 性 。 

如 图 4.2 所 示 , 终 端 实体 与 RA 和 CA 之 间 的 消息 交互 包括 : 初始 化 注册 (包括 证 书 申 
请 ) 、 密 钥 对 恢复 /更 新 \ 证 书 恢复 /撤销 等 申请 信息 。 终 端 实 体 向 CA 或 RA 发 出 以 上 申请 ， 
由 RA 或 CA 处 理 后 将 处 理 结果 返回 终端 实体 。RA 和 CA 之 间 也 需要 进行 各 种 消息 的 交 
互 , 例 如 RA 对 终端 实体 的 注册 信息 进行 审核 后 ,将 其 证 书 申请 转发 给 CA。 

(4) 证 书库 

证 书库 是 证 书 和 CRL 的 公共 存储 ,也 是 PKI 系统 的 数据 存储 中 心 和 发 布 中 心 , 用 于 发 
布 通过 认证 中 心 认可 的 X. 509 证 书 和 证 书 撤销 列表 。 证 书库 是 PKI 体系 的 一 个 重要 组 成 
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部 分 ,PKI 大 部 分 组 件 的 管理 操作 都 和 证 书库 密切 相关 。 传 统 的 PKI 系统 一 般 在 文件 系统 
或 数据 库 的 基础 上 实现 PKI 证 书库 , 它 通常 是 一 个 X. 500 目录 。 传 统 的 证 书库 检索 方式 单 
一 ,不 易 管 理 , 且 可 移植 性 、 互 操作 性 差 , 随 着 轻 量 级 目录 访问 协议 (lightweight directory 
access protocol, LDAP) 标 准 的 日 益 成 熟 和 LDAP 目录 服务 的 广泛 应 用 ,使 用 LDAP 目录 服 
务 来 设计 PKI 证 书库 成 为 目前 普遍 使 用 的 解决 方案 。 使 用 LDAP 对 证 书 进行 存储 和 管理 ， 
能 够 对 PKIX 模型 提供 更 好 的 支持 ,并 且 便 于 终端 用 户 进行 证 书 的 查询 和 下 载 。 

(5) 交叉 认证 

在 PKI 的 实际 应 用 中 ,经常 遇 到 不 同 信任 域 之 间 的 数字 证 书 交 换 的 问题 ,需要 采用 某 
种 机 制 解决 不 同 PKI 信任 域 中 各 CA 之 间 的 相互 信任 问题 ,这 时 就 需要 使 用 交叉 认证 
技术 。 

交叉 认证 使 得 CA 可 以 将 其 信任 范围 扩展 到 其 自身 的 信任 域 之 外 ,通过 交叉 认证 ,不 同 
PKI 信任 域 中 的 CA 可 以 互联 ,使 得 由 某 个 PKI 信任 域 中 的 CA 签发 的 数字 证 书 能 够 被 其 
他 PKI 信任 域 中 所 有 的 端 用 户 所 信任 。 

假设 一 个 应 用 系统 中 涉及 Tl 和 T2 两 个 信任 域 。T1 域 中 的 可 信 CA 为 CA1,T2 域 中 
的 可 信 CA 为 CA2, 如 果 需 要 Tl 中 的 用 户 信任 T2 中 CA 签发 的 证 书 , 即 实现 CA1 与 CA2 
的 交叉 认证 ,CA1 需要 为 CA2 签发 一 张 交 叉 认 证 证 书 , 这 张 证 书 中 包含 CA2 的 公 钥 (经 过 
CA1 签名 的 ) ,这 张 证 书 发 布 到 T1 域 后 ,T1 中 的 所 有 用 户 就 可 以 信任 CA2 及 其 子 CA 签 
发 的 证 书 了 。 

实现 交叉 认证 有 多 种 方法 ,例如 可 以 将 所 有 其 他 信任 域 中 的 根 CA 岩 入 到 客户 端 浏览 
器 中 ,也 可 以 采用 桥 CA 技术 解决 中 小 型 PKI 信任 域 之 间 交 叉 认 证 问题 (参见 4. 5 节 )。 

PKIX PKI 体系 结构 是 一 个 参考 模型 ,给 出 了 PKI 系统 的 基本 实体 及 各 自 的 基本 功能 。 
在 具体 实施 一 个 PKI 系统 时 ,应 根据 PKI 应 用 系统 的 规模 、 复 杂 度 以 及 用 户 特 点 ,决定 系统 
中 实体 的 种 类 、 数 量 以 及 具体 的 实施 和 部 署 方式 。 例 如 ,对 于 大 型 的 ,提供 公共 服务 的 PKI 
系统 ,可 以 另外 设立 一 个 密 钥 管理 中 心 (key management center, KMC) 为 端 用 户 产 生 非 对 
称 密 钥 对 ,并 把 其 中 的 公 钥 传递 给 CA 以 封装 为 证 书 。 这 个 密 钥 管 理 中 心 可 以 属于 CA 的 
一 部 分 ,也 可 以 为 多 个 CA 提供 密 钥 的 创建 和 管理 。 而 对 于 小 型 的 内 部 用 户 使 用 的 自主 开 
发 的 CA, 则 可 以 在 端 用 户 申请 证 书 时 ,由 浏览 器 产生 非 对 称 密 钥 对 ,然后 将 其 中 的 公 钥 发 
送 给 CA 以 创建 证 书 。 

此 外 ,PKIX 工作 组 还 发 布 了 三 个 RFC 文档 ,定义 了 与 证 书 管理 相关 的 协议 ,包括 : 证 
书 管理 协议 (certificate management protocol, CMP); 基于 CMC (cryptographic message 
syntax) 的 证 书 管理 消息 (certificate management messages over CMS,CMC); 证 书 请 求 消 
息 格式 (certificate request message format, CRMF)。 在 这 些 相 关 协 议 中 ,进一步 描述 了 
PKIX 模型 的 PKI 系统 中 证 书 请 求 和 管理 消息 的 类 型 .格式 和 基本 功能 。 
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4.4 X. 509 证 书 


1978 年 Kohnfelder 提出 了 包含 用 户 名 和 公 钥 的 签名 数据 块 一 一 证 书 的 概念 : 数字 证 
书 是 一 段 包 含 用 户 身 份 信息 ,用户 公 钥 信息 以 及 身份 验证 机 构 数 字 签名 的 数据 , 它 是 一 个 经 
过 证 书 认证 中 心 (CA) 数 字 签 名 的 包含 公开 密 钥 拥 有 者 信息 以 及 公开 密 钥 的 文件 。 它 在 一 
个 身份 和 该 身份 的 持 有 者 所 拥有 的 公 / 私 钥 对 之 间 建 立 了 一 种 联系 。 证 书 的 签名 可 确保 证 
书 在 不 安全 的 网 络 环境 中 的 传输 和 存储 安全 ,因此 ,数字 证 书 为 开放 网 络 环境 中 管理 公开 密 
钥 提 供 了 基本 手段 。 

为 了 提供 公用 网 络 用 户 目录 信息 服务 ,国际 电信 联盟 ITU 于 1988 年 制定 了 X. 500 系 
列 标准 。1988 年 ,作为 X. 500 目录 服务 的 访问 授权 部 分 ,ITU 提出 了 X. 509(ISOVIEC 
9594-8) 证 书 标准 ,该 标准 定义 了 数字 证 书 的 基本 内 容 、 格 式 和 证 书 工作 机 制 。X. 509 得 到 
了 广泛 的 应 用 ,是 目前 普遍 使 用 的 证 书 格式 之 一 。X. 509 证 书 由 可 信和 的 CA 创建 ,并 由 CA 
或 端 用户 存 放 于 X. 500 目录 或 LDAP 目录 服务 器 中 。 

如 图 4.3 所 示 , X. 509 具有 不 同 的 版 本 ,各 个 版 本 的 字段 有 所 不 同 。 目 前 使 用 的 
X. 509v3 在 原 有 版 本 X. 509v2 和 X. 509v1 的 基础 上 进行 了 扩展 。X. 509 证 书信 息 由 一 些 
标准 字段 构成 ,其 中 每 一 版 本 的 证 书 都 包含 如 下 信息 。 


版 本 | 4 4 
证 书 序列 号 
签名 算法 算法 
标识 符 参数 
硕 肥 者 名 字 版 
证 书 不 早 于 本 | 雪 
有 效 其 不 有 于 其 
主体 名 三 
主体 公 铀 时 项 
信息 5 辐 
发 布 痢 唯一 标识 符 1 
主体 唯一 标识 符 | 
扩展 | 
要 法 
CA 签名 多 各 种 版 本 
十 文 


图 4.3 X.509 证 书 格式 


证 书 的 版 本 号 (version) : 指明 该 证 书 的 X. 509 版 本 号 。 
证 书 序列 号 (certificate serial number) : 由 CA 给 每 个 证 书 分 配 的 唯一 编号 , 当 证 书 被 
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取消 时 ,该 证 书 序列 号 放 入 由 CA 签发 的 证 书 作废 表 或 证 书 黑 名 单 表 CRL 中 。 

签名 算法 标识 符 (signature algorithm identifier) : CA 需要 对 端 用 户 的 证 书 进行 数字 签 
名 ,以 供 使 用 者 验证 该 证 书 的 真实 性 。 该 字段 用 来 标识 CA 使 用 的 签名 算法 及 其 参数 ,包括 
公 钥 和 Hash 算法 。 这 些 算 法 应 该 在 证 书 中 指明 ,以 便 证 书 的 使 用 者 采用 同样 的 算法 进行 


CA 签名 验证 。 

证 书 颁发 者 名 字 (issuer name): 指明 颁发 该 证 书 的 CA 的 可 识别 名 (distinguished 
name, DN), 

证 书 有 效 期 (period of validity) : 指明 使 用 该 证 书 的 有 效 期 限 ,包括 证 书生 效 时 间 和 证 
书 失 效 时 间 。 

证 书 主体 名 (Csubject name) : 证 书 拥有 者 的 可 识别 名 ,这 个 字段 必须 是 非 空 的 ,除非 在 
证 书 扩展 中 使 用 了 主体 别名 。 


证 书 主 体 的 公 钥 信息 (subject”s public key information): 包括 证 书 持 有 者 的 公 钥 算 
法 .参数 和 公 钥 等 。 证 书 的 使 用 者 将 这 些 信 息 中 指明 的 算法 .参数 和 公 钥 进行 加 密 或 签名 验 
证 等 安全 操作 。 
证 书 颁发 者 标识 符 (issuer unique identifier) : 证 书 颁发 者 的 唯一 标识 符 , 仅 在 版 本 2 和 
版 本 3 中 有 要 求 , 属 于 可 选项 。 
证 书 主 体 标 识 符 (subject unique identifier) : 证 书 拥 有 者 的 唯一 标识 符 , 仅 在 版 本 2 和 
版 本 3 中 有 要 求 , 属 于 可 选项 。 
证 书 颁发 者 的 签名 (signature) : 为 证 书 颁发 者 使 用 其 私 钥 生 成 的 签名 ,以 确保 这 个 证 
书 是 由 可 信 机 构 发 布 的 ,并 且 在 发 放 之 后 没有 被 筑 改 过。 证 书 的 使 用 者 将 使 用 签名 算法 标 
识 符 字段 中 指定 的 签名 算法 及 其 参数 验证 该 签名 的 真实 性 ` 消 息 的 完整 性 。 
扩展 (extensions): 可 选 的 标准 和 专用 的 扩展 (在 版 本 3 中 使 用 ) ,它们 包括 如 下 内 容 。 
。 密 钥 标识 符 : 证 书 所 含 密 钥 的 唯一 标识 符 ,用 来 区 分 同一 证 书 拥有 者 的 多 对 密 钥 。 
。 密 钥 使 用 : 一 个 比特 串 ,指明 (限定 ?证 书 的 公 钥 可 以 完成 的 功能 或 服务 ,如 证 书签 
名 .数据 加 密 等 。 
。 扩展 密 钥 使 用 : 由 一 个 或 多 个 对 象 标识 符 Cobject identifiers, OIDs) 组 成 ,可 以 说 明 
证 书 密 钥 的 特殊 用 途 。 有 Internet 策略 限定 。 
。 CRL 分 布点 : 指明 CRL 的 分 布地 点 。 
。 私 钥 的 使 用 期 : 指明 证 书 中 与 公 钥 相 联系 的 私 钥 的 使 用 期 限 , 它 也 由 Not Before 和 
Not After 组 成 。 若 此 项 不 存在 时 ,公私 钥 的 使 用 期 是 一 样 的 。 
。 证 书 策略 : 由 对 象 标识 符 和 限定 符 组 成 .这 些 对 象 标识 符 说 明证 书 的 颁发 与 使 用 策 
略 有 关 。 
。 策略 映射 : 表明 两 个 CA 域 之 间 的 一 个 或 多 个 策略 对 象 标 识 符 的 等 价 关系 , 仅 在 
CA 证 书 里 存在 。 
。 主体 别名 : 指出 证 书 拥有 者 的 别名 ,如 电子 邮件 地 址 、IP 地 址 等 ,别名 是 和 DN 绑 定 
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在 一 起 的 。 

。 颁发 者 别名 : 指出 证 书 颁发 者 的 别名 ,如 电子 邮件 地 址 、IP 地 址 等 ,但 颁发 者 的 DN 
必须 出 现在 证 书 的 颁发 者 字段 。 

。 主体 目录 属性 : 指出 证 书 拥有 者 的 一 系列 属性 。 可 以 使 用 这 一 项 来 传递 访问 控制 
信息 。 


为 了 使 X. 509 证 书 适用 于 大 规模 的 网 络 环境 中 的 分 发 和 管理 ,X. 509v3 在 其 证 书 格式 
中 增加 了 扩展 字段 ,提供 更 多 的 灵活 性 和 可 扩展 性 以 满足 各 种 应 用 系统 不 同类 型 的 安全 需 
求 。X. 509v3 证 书包 括 如 下 新 特征 。 

(1) 多 算法 支持 

X. 509 证 书 是 算法 独立 的 ,CA 可 以 根据 需要 选择 证 书 的 签名 和 消息 摘要 算法 以 及 端 
实体 所 拥有 密 钥 对 的 类 型 。 在 X. 509v3 中 ,新 的 算法 只 需 定 义 算法 标识 符 , 公 钥 格 式 和 密 
钥 使 用 途径 扩展 项 就 可 以 应 用 到 X. 509 证 书 系统 中 ,从 而 保证 算法 和 证 书 的 独立 性 ,支持 
新 算法 的 使 用 。 目 前 IEFT PKIX 工作 组 支持 以 下 算法 。 

@ 消息 摘要 算法 : MD2、MD5 .SHA 一 1。 

@ 证 书签 名 算法 : RSA .DSA。 

@ 密 钥 持 有 者 的 密 钥 对 类 型 RSA 密 钥 ,DSA 签名 密 钥 .D 一 H 密 钥 交换 密 钥 .KEA 
密 钥 和 ECDSA 密 钥 。 

(2) 多 种 命名 机 制 支持 

X. 509v1 中 使 用 了 X. 500 名 字 机 制 来 标识 确认 者 和 持 证 者 。 然 而 X. 500 的 全 局 目录 
并 未 被 广泛 接受 ,因此 有 必要 引入 其 他 命名 机 制 。 为 此 ,X. 509v3 定义 了 IssueAltName 和 
SubjectAltName 两 个 扩展 项 。 这 两 个 扩展 字段 目前 支持 的 命名 机 制 包括 E-mail 地 址 
(RFC822 name) \IP 地 址 ,域名 (DNS name) 和 URL。 一 个 证 书 中 可 以 同时 使 用 多 种 命名 
方式 ,但 由 于 CA 不 能 确定 验证 者 将 使 用 哪个 名 字 , 因 此 必须 保证 持 证 者 的 每 一 个 名 字 都 是 
经 过 确认 的 。 

(3) 限制 证 书 ( 公 钥 ) 的 用 途 

X. 509v3 证 书 通过 定义 KeyUsage 和 ExtKeyUsage 两 个 扩展 字段 ,使 CA 能 够 限制 它 
所 发 布 的 证 书 的 用 途 。 目 前 支持 的 用 途 包括 签名 ,不 可 否认 性 、 密 钥 加 密 .数据 加 密 、 密 钥 协 
商 ,证 书签 发 和 CRL 签发 。 其 他 的 密 钥 用 途 可 以 使 用 ExtKeyUsage 字段 进行 扩展 。 

(4) 定义 证 书 遵循 的 策略 

每 个 CA 都 定义 了 一 定 的 安全 策略 ,以 规范 它 的 证 书 操作 过 程 。 证 书 实践 声明 (CPS) 
集中 描述 了 这 些 策略 ,包括 该 CA 的 命名 空间 .身份 验证 .撤销 机 制 ,法律 责任 和 收费 等 。 

每 个 证 书 都 是 在 一 定 的 安全 策略 指导 下 签发 的 ,X. 509v3 的 PolicyInfomation 扩展 字 
段 可 以 指明 该 证 书 所 遵循 的 CPS 的 位 置 。 

(5) 证 书 链 处 理 

由 于 一 个 公 钥 用 户 拥有 的 可 信 证 书 管理 中 心 数 量 有 限 , 要 与 大 量 不 同 管理 域 的 用 户 建 
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立 安全 通信 ,需要 在 CA 之 间 建 立信 任 关系 。 一 般 对 于 证 书 链 的 处 理 需 要 考虑 与 每 个 证 书 
相关 联 的 信任 关系 。X. 509v3 定义 了 以 下 扩展 字段 用 于 控制 信任 关系 的 传递 。 

GD Basic Constraints: 定义 持 证 者 是 否 是 CA 以 及 允许 起 始 于 该 证 书 的 证 书 链 的 深度 。 

@ Name Constraints: 若 持 证 者 是 CA, 可 用 这 个 字段 限制 该 CA 签发 的 证 书 必须 在 特 
定 的 命名 空间 内 。 

@ Policy Constraints: 通过 在 v3 证 书 的 PolicyConstraints 扩展 字段 中 指明 特定 的 策 
略 号 ID, 认 证 中 心 可 以 要 求 自己 所 信任 的 其 他 CA 也 遵循 一 定 的 安全 策略 。 


4.5 PKI 信任 模型 


信任 模型 (trust model) 是 构建 和 运作 PKI 所 必需 的 环节 。 选 择 正 确 的 信任 模型 以 及 
与 它 相 应 的 安全 级 别 是 非常 重要 的 ,同时 也 是 部 署 PKI 所 要 做 的 基本 决策 之 一 。 

PKI 信任 模型 主要 解决 如 下 问题 : 

。 一 个 PKI 用 户 能 够 信任 的 证 书 是 怎样 被 确定 的 ? 

。 这 种 信任 是 怎样 被 建立 的 ? 

。 在 一 定 的 环境 下 ,这 种 信任 如 何 被 控制 ? 

为 了 进一步 说 明 信 任 模型 ,首先 给 出 几 个 重要 的 概念 。 

。 信任 ITU-T X. 509 规范 中 给 出 信任 的 定义 是 “如 果 一 个 实体 假定 另 一 个 实体 会 严 
格 并 准确 地 按照 它 所 期 望 的 那样 行动 ,那么 它 就 信任 该 实体 ”。 其 中 的 实体 是 指 在 
网 络 或 者 分 布 式 环境 中 具有 独立 决策 和 行动 能 力 的 终端 .服务 器 或 者 智能 代理 等 。 
在 PKI 体系 中 ,可 以 把 信任 的 概念 定义 为 : 如 果 一 个 用 户 假设 能 够 建立 并 维持 一 个 
准确 的 对 公开 密 钥 属性 的 绑 定 ,并 且 能 够 明确 CA 所 颁发 证 书 的 实体 的 真实 身份 ， 
则 该 用 户 信任 该 CA。 这样.PKI 中 的 信任 体系 也 就 可 以 建立 起 来 了 。 
信任 域 ”信任 域 是 公共 控制 下 或 服从 一 组 公共 策略 的 系统 集 ,简单 来 说 就 是 信任 
的 范围 。 识 别 信任 域 及 其 边界 对 于 构建 PKI 很 重要 。 一 个 信任 域 中 的 用 户 如 果 
需要 使 用 另 一 信任 域 中 签发 的 证 书 则 需要 进行 交叉 认证 ,通常 比 使 用 同一 个 信任 
域内 签发 的 证 书 复杂 得 多 。 信 任 域 可 以 按照 组 织 结构 和 地 理 界限 来 划分 。 能 否 
建立 一 个 可 确定 本 地 信任 模型 的 广泛 策略 的 信任 域 ,对 于 PKI 部 署 的 成 败 具 有 重 
要 影响 。 
信任 锚 ”在 信任 模型 中 , 当 可 以 确定 一 个 实体 身份 或 者 有 一 个 足够 可 信 的 身份 签发 
者 证 明 该 实体 的 身份 时 , 另 一 个 实体 就 能 做 出 对 它 信任 的 决定 ,这 个 可 信 的 身份 签 
发 者 就 称 为 信任 锚 (trust anchor) 。 简 单 地 讲 , 信 任 锚 就 是 PKI 信任 模型 中 信任 的 
起 点 。 
。 信任 关系 ， 证 书 的 用 户 要 找到 一 条 从 证 书 颁 发 者 到 信任 锚 的 路 径 可 能 需要 建立 一 
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系列 的 信任 关系 。 在 公 钥 基础 设施 中 , 当 两 个 认证 机 构 中 的 一 方 给 另 一 方 的 公开 密 
钥 颁 发 证 书 时 ,两 者 之 间 就 建立 了 信任 关系 。 在 一 个 实体 需要 确认 男 一 个 实体 身份 
时 , 它 首 先 需要 确定 信任 锚 , 再 由 信任 锚 找 出 一 条 到 达 待 确认 实体 的 各 个 证 书 , 这 些 
证 书 组 成 的 路 径 称 为 信任 路 径 , 通 过 信任 路 径 可 以 进行 信任 关系 的 传递 。 信 任 关 系 
可 以 是 双向 的 也 可 以 是 单 向 的 。 

PKI 的 常用 的 信任 模型 包括 单 信任 模型 .严格 层次 结构 模型 (strict hierarchy of 
certification authorities model)、 分 布 式 信任 结构 模型 (distributed trust architecture 
model) , 桥 CA 信任 模型 (bridge CA model) .Web 信任 模型 (web model) 和 以 用 户 为 中 心 的 
信任 模型 (user centric trust model) 。 


1. 单 信任 模型 

单 信任 模型 是 最 基本 的 信任 模型 ,也 是 在 小 型 企业 环境 内 部 比较 实用 的 一 种 模型 。 在 
这 种 模型 中 ,整个 PKI 体系 只 有 一 个 CA, 它 为 整个 体系 中 的 所 有 终端 用 户 签发 和 管理 证 
书 。PKI 体系 下 的 所 有 终端 用 户 都 信任 这 个 CA。 每 个 证 书 路 径 都 起 始 于 该 CA 的 公开 密 
钥 , 该 CA 的 公开 密 钥 成 为 PKI 体系 中 所 有 用 户 唯一 的 信任 锚 。 

如 图 4.4 所 示 , 这 种 信任 模型 的 优点 是 结构 简单 ,容易 实现 .易于 管理 ,只 需要 建立 一 个 
CA, 所 有 的 终端 用 户 都 能 实现 相互 认证 。 同 时 ,证书 路 径 就 是 从 CA 直接 到 各 个 终端 用 户 ， 
证 书 策略 十 分 简单 。 它 的 缺点 也 是 显而易见 的 ,如 所 有 用 户 只 能 从 一 个 组 织 获取 证 书 , 不 易 
扩展 信任 域 ,难以 实现 交叉 认证 ; 无 法 支持 大 量 的 或 者 不 同 的 群体 用 户 ,终端 用 户 的 群体 越 
大 ,CA 的 负担 就 越 重 。 

因此 ,该 信任 模型 只 适合 用 户 较 少 且 集中 的 单一 信任 域 的 系统 。 


2. 严格 层次 结构 模型 

如 图 4.5 所 示 ,对 于 一 个 运行 CA 的 较 大 的 认证 机 构 而 言 , 签 发 证 书 的 工作 不 能 仅 由 一 
个 CA 来 完成 ,可 以 建立 一 个 CA 层次 结构 模型 ,该 模型 是 一 个 以 主 从 关系 建立 的 分 级 
结构 。 


CA 
和 中 间 CA 


端 用 户 
[ 


端 用 户 端 用 户 端 用 户 端 用 户 ] 端 用 户 
图 4.4 CA 单 信任 模型 图 4.5 CA 严格 层次 结构 模型 
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CA 的 严格 层次 结构 可 以 被 描绘 为 一 个 树 形 结构 , 根 代表 一 个 对 整个 PKI 系统 的 所 有 
实体 都 有 特别 意义 的 CA 一 一 通常 叫做 根 CA(root CA), 它 充当 信任 的 根 或 信任 锚 一 一 也 
就 是 认证 的 起 点 或 终点 。 在 根 CA 的 下 面 是 零 层 或 多 层 中 间 CA (inter mediate CA) ,也 称 
作 子 CA(subordinate CA) ,它们 从 属于 根 CA。 子 CA 用 中 间 节 点 表示 ,从 中 间 节 点 再 伸 出 
分 支 。 与 非 CA 的 PKI 实 体 相 对 应 的 叶 节点 即 为 端 用 户 实体 。 在 这 个 模型 中 ,层次 结构 中 
的 所 有 实体 都 信任 唯一 的 根 CA。 这 个 层次 结构 按 如 下 规则 建立 : 

@ 根 CA 具有 一 个 自 签名 的 证 书 。 

@ 根 CA 认证 (生成 和 签发 证 书 ) 与 其 直接 相连 的 CA。 

@ 每 个 CA 都 认证 零 个 或 多 个 与 其 直接 相连 的 下 一 级 CA( 在 一 些 CA 严格 层次 结构 
中 ,上 层 的 CA 既 可 以 认证 其 他 CA 也 可 以 认证 终端 实体 。 虽然 在 现 有 的 PKI 标准 中 并 没 
有 排除 这 一 点 ,但 是 在 文献 中 层次 结构 往往 都 是 假设 一 个 给 定 的 CA 要 么 认证 终端 实体 要 
么 认证 其 他 CA, 但 不 能 两 者 都 认证 ) 。 

@ 倒数 第 二 层 实体 ( 即 最 底层 的 CA) 认 证 终端 用 户 。 

@ 对 于 终端 用 户 , 它 需要 信任 根 CA, 对 于 中 间 的 CA 则 可 以 不 必 关 心 ( 对 终端 用 户 透明 ) 。 

在 CA 严格 层次 结构 中 ,每 个 实体 (包括 中 间 CA 和 终端 实体 ) 都 必须 拥有 根 CA 的 公 
钥 ,该 公 钥 的 安装 是 在 这 个 模型 中 为 随后 进行 的 所 有 通信 进行 证 书 处 理 的 基础 。 因 此 , 它 必 
须 通 过 一 种 安全 的 方式 来 完成 。 例 如 ,一 个 实体 可 以 通过 物理 途径 如 信件 或 电话 来 取得 这 
个 密 钥 ; 也 可 以 选择 通过 电子 方式 取得 该 密 钥 ,然后 再 通过 其 他 机 制 来 确认 它 ,如 将 密 钥 的 
散 列 结果 用 信件 发 送 、 公 布 在 报纸 上 或 者 通过 电话 告 之 。 

在 证 书 验证 时 , 沿 着 层次 关系 的 树 形 结构 往 上 找 , 可 以 构成 一 条 证 书 链 , 直 到 根 证 书 。 
而 证 书 中 签名 的 验证 过 程 是 沿 相反 的 方向 ,从 根 证 书 开始 ,依次 往 下 验证 每 一 个 证 书 中 的 签 
名 ,并 信任 对 应 的 CA 的 公 钥 ,直到 最 后 验证 终端 用 户 证 书 中 最 底层 的 CA 的 签名 ,并 最 后 
信任 终端 用 户 的 公 钥 。 

下 面 举例 说 明 在 CA 的 严格 层次 结构 模型 中 进行 证 书 验 证 的 过 程 。 一 个 持 有 根 CA 公 
钥 的 终端 实体 A 可 以 通过 下 述 方法 检验 另 一 个 终端 实体 B 的 证 书 。 假设 B 的 证 书 是 由 
CA2 签发 的 ,而 CA2 的 证 书 是 由 CA1 签发 的 .CA1 的 证 书 又 是 由 根 CA 签发 的 。A 由 于 拥 
有 根 CA 的 公 钥 KR ,因此 它 能 够 验证 CA1 的 公 钥 Ki ,并 且 它 可 以 提取 出 可 信 的 CA1 的 公 
钥 。 然 后 ,这 个 公 钥 K, 可 以 被 用 作 验 证 CA2 的 公 钥 ,类似 地 就 可 以 得 到 CA2 的 可 信 公 钥 
K;。 公 和 钥 K; 能 够 被 用 来 验证 B 的 证 书 , 从 而 得 到 B 的 可 信 公 钥 Ks。A 现在 就 可 以 根据 需 
要 使 用 密 钥 Ks ,如 对 发 给 B 的 消息 进行 加 密 , 或 用 来 验证 B 的 数字 签名 ,从 而 实现 A 和 B 
之 间 的 安全 通信 。 


3. 分 布 式 信 任 模 型 


如 图 4. 6 所 示 ,分 布 式 信任 模型 也 称 为 网 状 信任 模型 。 在 该 模型 中 ,信任 锚 的 选取 不 是 
唯一 的 ,存在 多 个 根 CA,CA 之 间 存 在 交叉 认证 。 如 果 任 意 两 个 CA 之 间 都 存在 着 交叉 认 
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端 用 户 
图 4.6 CA 分 布 式 信任 模型 


证 , 则 这 种 模型 就 称 为 严格 网 状 信任 模型 。 与 在 PKI 体系 中 的 所 有 实体 都 信任 唯一 根 CA 
的 严格 层次 结构 模型 不 同 , 网 状 信任 模型 把 信任 分 散 到 两 个 或 多 个 CA 上 。 

由 于 存在 多 个 信任 锚 , 分 布 式 信任 模型 中 单个 CA 安全 性 的 削弱 不 会 影响 到 整个 PKI。 
并 且 , 增 加 新 的 认证 域 比较 容易 ,只 需 新 的 根 CA 在 网 络 中 至 少 向 另 一 个 CA 发 放 证 书 ,用 
户 不 需要 改变 信任 锚 。 由 于 信任 关系 可 以 传递 ,因此 可 以 减少 颁发 证 书 的 个 数 ,使 证 书 管理 
更 加 简单 容易 ,这 种 模型 能 够 很 好 地 适应 企业 之 间 信 任 关 系 的 建立 。 

分 布 式 信任 结构 模型 中 ,信任 关系 的 传递 使 得 从 终端 用 户 证 书 到 信任 锚 建立 证 书 的 路 
径 不 确定 ,因此 信任 路 径 的 发 现 比较 困难 。 


4. 桥 CA 信任 模型 

在 桥 CA 信任 模型 中 ,采用 一 个 专门 的 称 为 桥 CA 的 认证 机 构 来 连接 不 同 的 PKI 体系 ， 
以 建立 交叉 认证 。 不 同 于 网 状 模型 中 的 CA , 桥 CA 与 不 同 的 信任 域 建立 对 等 的 信任 关系 ， 
允许 用 户 保 持原 有 的 信任 锚 。 这些 关系 被 结合 起 来 形成 信任 桥 , 使 得 来 自 不 同 信任 域 的 用 
户 通过 指定 信任 级 别 的 桥 CA 相互 作用 。 

如 图 4.7 所 示 , 桥 CA 不 是 一 个 树 状 结构 的 CA, 也 不 像 网 状 CA, 它 不 直接 向 用 户 颁 发 
证 书 。 它 不 像 根 CA 一 样 成 为 一 个 信任 锚 , 它 只 是 一 个 单独 的 CA。 它 与 不 同 的 信任 域 之 间 
建立 对 等 的 信任 关系 ,任何 结构 类 型 的 PKI 都 可 以 通过 桥 CA 连接 在 一 起 ,实现 彼此 间 的 
信任 ,每 一 个 单独 的 信任 域 都 可 以 通过 桥 CA 扩展 到 整个 PKI 体系 中 。 


5. Web 信任 模型 

该 模型 建构 在 浏览 器 的 基础 上 ,如 图 4.8 所 示 , 浏 览 器 厂商 在 浏览 器 中 内 置 了 多 个 根 
CA ,每 个 根 CA 相互 间 是 平行 的 ,浏览 器 用 户 信任 这 些 根 CA 并 把 它们 作为 自己 的 信任 锚 。 
浏览 器 上 预 装 的 这 些 公 钥 确定 了 一 组 浏览 器 用 户 最 初 信任 的 根 CA ,而 这 些 根 CA 又 可 构成 
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端 用 户 


图 4.7 桥 CA 信任 模型 


图 4. 9 所 示 的 信任 体系 。 在 该 模型 中 ,浏览 器 厂商 就 成 为 了 事实 上 的 隐 含 的 根 CA。 这 种 
模型 表面 上 与 分 布 式 信任 模型 颇 为 相似 ,实际 上 , 它 更 接近 严格 分 级 模型 。 


预期 目的 0D) 所 有 YY 
个 人 _ 其 他 人 ‖ 中 级 证 书 颁发 机 构 | 受信 任 的 根 证 书 颁 发 机 构 | 受信 和 任 的 发 行者 | 二 半 


颁发 给 颁发 者 截止 日 期 ”好 记 的 名 称 | 
国 Aateridad Cert... Anteridad Certif... 2009-6-29 Autoridad Ce 
Mmtoridad Cert... Autoridad Certif... 2009-6-30 Autoridad Ce 
国 batinore EZ b... Baltinore EZ by DST 2009-7-4 JST (baltino 
国 Beleseon E-Tra .. Belgacon E-Trust... 2010-1-21 Belgacon 了 -T 


国 car HKT Secure CaW HKT Securele. 2009-1 CW HET Secur. 
国 cor HKT Secure， CAW HKT SecurelNe. 2009-1 CW HKT Secur, 
cr wo Secure... cay JIT Securele... 2010-1... CH NIT Secur 
cor Yor secure... CAF WIT Securele... 2009-1... CW HKT Secur 二 
Fac，， ne 
ER 人 
图 4.8 Web 信任 模型 中 受信 任 的 根 CA 
an 
根 CA 
| 中 间 CA 


] 端 用 户 


图 4.9 Web 信任 模型 


Web 信任 模型 在 方便 性 和 简单 互 操作 性 方面 有 明显 的 优势 ,但 是 也 存在 许多 安全 隐 


。 例 如 ,因为 浏览 器 的 用 户 自动 地 信任 预 安装 的 所 有 公 钥 ,所 以 如 果 这 些 根 CA 中 有 一 个 
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是 不 合法 的 ,PKI 体系 的 安全 性 将 被 完全 破坏 。 

另外 一 个 潜在 的 安全 隐患 是 没有 实用 的 机 制 来 撤销 嵌入 到 浏览 器 中 的 根 密 钥 。 如 果 发 
现 一 个 根 密 钥 是 不 合法 的 ,或 者 与 根 的 公 钥 相应 的 私 钥 被 泄密 了 ,要 使 全 世界 数 百 万 个 浏览 
器 都 自动 地 废止 该 密 钥 的 使 用 是 不 可 能 的 ,这 是 因为 无 法 保证 通报 的 报 文 能 到 达 所 有 的 浏 
览 器 ,而 且 即 使 报 文 到 达 了 浏览 器 ,浏览 器 也 没有 处 理 该 报 文 的 功能 。 因 此 ,从 浏览 器 中 去 
除 坏 密 钥 需要 全 世界 的 每 个 用 户 都 同时 采取 明确 的 动作 : 否则 ,一 些 用 户 将 是 安全 的 而 其 
他 用 户 仍 处 于 危险 之 中 。 但 是 这 样 一 个 全 世界 范围 内 的 同时 动作 是 不 可 能 实现 的 。 

最 后 ,该 模型 还 缺少 有 效 的 方法 在 CA 和 用 户 之 间 建 立 合法 协议 ,该 协议 的 目的 是 使 
CA 和 用 户 共 同 承担 责任 。 


6. 以 用 户 为 中 心 的 信任 模型 

在 以 用 户 为 中 心 的 信任 模型 中 ,每 个 用 户 自己 决定 信任 哪些 证 书 。 安 全 软件 (pretty 
good privacy,PGP) 最 能 说 明 以 用 户 为 中 心 的 信任 模型 。 例 如 , 当 Alice 收 到 一 个 声称 为 
Bob 的 证 书 时 ,她 发 现 这 个 证 书 是 由 她 不 认识 的 David 签署 的 ,而 David 的 证 书 则 是 由 她 信 
任 的 Catherine 签署 的 。 在 这 种 情况 下 , Alice 可 以 决定 信任 Bob 的 密 钥 ( 即 信 任 从 
Catherine 到 David 再 到 Bob 的 密 钥 链 ) ,也 可 以 决定 不 信任 Bob 的 密 钥 ( 不 信任 这 种 密 
钥 链 ) 。 

以 用 户 为 中 心 的 信任 模型 需 依赖 于 用 户 自身 的 行为 和 决策 能 力 , 因 此 这 种 信任 模型 在 
技术 水 平 较 高 和 利害 关系 高 度 一 致 的 群体 中 是 可 行 的 ,但 是 在 一 般 的 群体 ( 它 的 许多 用 户 缺 
乏 安 全 意识 及 PKI 的 概念 ) 中 是 不 现实 的 。 而 且 , 这 种 模型 一 般 不 适合 用 在 贸易 、 金 融 或 政 
府 环境 中 ,因为 在 这 些 环境 下 ,通常 希望 或 需要 对 用 户 的 信任 实行 某 种 控制 ,显然 这 样 的 信 
任 策略 在 以 用 户 为 中 心 的 模型 中 是 不 可 能 实现 的 。 


4.6 密 铀 和 证 书 的 生命 周期 


4.6.1 密 钥 / 证 书生 命 周期 管理 


如 图 4. 10 所 示 ,PKI 体系 中 , 密 钥 /证 书生 命 周 期 管理 过 程 可 分 为 初始 化 、 颁 发 和 取消 
三 个 阶段 , 它 是 对 密 钥 和 证 书生 命 周期 进行 管理 的 过 程 ,该 过 程 的 主体 是 CA 或 RA, 客 体 
是 证 书 和 密 钥 ,管理 过 程 涉及 PKI 体系 的 各 个 实体 。 

(1) 初始 化 阶段 

在 端 用 户 实体 能 够 使 用 PKI 支持 的 服务 之 前 ,它们 必须 初始 化 以 进入 PKI, 证 书 管理 
的 初始 化 阶段 由 以 下 几 个 步骤 组 成 。 

@ 终端 实体 注册 : 终端 实体 向 CA/RA 提交 注册 信息 并 发 布 证 书 请 求 。 
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初始 化 


证 书 检索 
证 书 验 证 
密 钥 恢复 


图 4.10 密 钥 /证 书生 命 周期 管理 过 程 


@ 密 钥 对 产生 : 由 终端 实体 或 CA 的 密 钥 管理 软件 产生 公 钥 / 私 钥 对 。 

@ 证 书 创建 : CA 为 终端 实体 创建 证 书 并 进行 签名 。 

@ 证 书 / 密 钥 分 发 : CA 签发 证 书后 ,将 其 发 布 到 指定 的 资源 中 ,如 CA 数据 库 或 目录 
服务 器 中 。 

@ 密 钥 备 份 : CA 的 密 钥 管 理 中 心 对 用 户 私 钥 进行 备份 ,以 便 进 行 密 钥 恢复 。 

其 中 ,一 个 典型 的 端 用 户 实体 注册 过 程 如 图 4. 11 所 示 。 端 用 户 向 RA 发 起 注册 表格 请 
求 ,RA 进行 应 答 后 , 端 用 户 向 RA 提交 注册 表格 ,RA 将 该 表格 提交 CA 进行 审核 ,CA 审核 
通过 后 建立 注册 信息 ,把 注册 结果 返回 端 用 户 。 随 后 ,开始 证 书 申请 过 程 。 

1. 注册 请 求 
[| 注册 应 次 4. 注册 建立 请 求 
全 | 3 注册 提交 | “| 5 注册 建立 结果 | “< 

6. 注册 结果 


7. 证 书 申请 
8. 证 书 申请 应 答 


图 4.11 终端 实体 的 初始 化 


(2) 颁发 阶段 

一 且 数 字 证 书 已 经 产生 并 适当 地 分 发 , 密 钥 /证 书生 命 周期 管理 的 颁发 阶段 即 开始 。 这 
个 阶段 包括 如 下 内 容 。 

@ 证 书 检索 : 进行 远程 资料 库 的 证 书 检索 。 

@ 证 书 验证 : 确定 一 个 证 书 的 有 效 性 (包括 证 书 路 径 的 验证 ) 。 

@ 密 钥 恢复 : 当 不 能 正常 访问 密 钥 时 ,从 CA 或 可 信 第 三 方 处 恢复 密 钥 。 

@ 密 钥 更 新 : 当 一 个 合法 的 密 钥 对 过 期 时 ,进行 新 的 公 / 私 钥 的 自动 产生 和 相应 证 书 
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(3) 取消 阶段 

密 钥 /证 书生 命 周期 管理 以 取消 阶段 来 结束 。 此 阶段 包括 如 下 内 容 。 

@ 证 书 过 期 : 证 书 到 达 有 效 期 后 处 于 过 期 状态 ,是 证 书生 命 周 期 的 自然 结束 。 

@ 证 书 撤销 : 在 证 书 有 效 期 内 ,宣布 一 个 合法 证 书 (及 其 相关 私 钥 ) 不 再 有 效 。 

@ 密 钥 历史 : 维持 一 个 有 关 密 钥 资料 的 记录 (一 般 是 关于 终端 实体 的 ) ,以 便 那 些 使 用 
过 期 的 密 钥 所 加 密 的 数据 能 够 被 解密 。 

@ 密 钥 档案 : 出 于 对 密 钥 历 史 恢 复 、 审 计 和 解决 争议 等 所 进行 的 密 钥 资料 的 安全 第 三 
方 储存 。 


4.6.2 密 钥 生 命 周期 


如 图 4. 12 所 示 ,对 应 于 密 钥 /证 书生 命 周 期 管理 这 三 个 大 的 阶段 , 密 钥 的 生命 周期 包括 
如 下 阶段 : 


和 密 钥 产生 


0 Bobp 公 钥 瞩 ~ 


OP Bob 公 钥 | -| 密 钥 使 用 


图 4.12 密 钥 生命 周期 


(1) 密 钥 产生 

为 了 申请 一 个 证 书 , 需 要 为 证 书 持 有 者 产生 一 个 公 钥 / 私 钥 对 。 密 钥 对 可 以 在 终端 实体 
注册 之 前 或 注册 过 程 中 产生 。 密 钥 对 的 生成 可 以 在 终端 实体 (证 书 的 申请 者 ) 中 执行 ,由 端 
用 户 中 支持 PKI 的 应 用 程序 完成 ; 也 可 以 由 RA 或 CA 产生 (一 般 由 一 个 CA 附属 但 信息 
独立 的 密 钥 管理 软件 生成 密 钥 对 ); 或 者 由 一 个 可 信 的 第 三 方 产生 。 

如 果 是 终端 实体 产生 密 钥 对 , 则 私 钥 使 用 用 户 密 码 进行 保护 ,并 存储 在 只 有 私 钥 拥 有 者 
才能 够 访问 的 安全 存储 区 , 公 钥 被 加 入 证 书 申 请 中 。 

如 果 是 密 钥 管理 软件 产生 公私 钥 对 , 则 终端 实体 或 RA 向 CA 提交 证 书签 发 请 求 时 ,不 
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提供 公 钥 文件 ,而 是 指明 由 CA 附属 的 密 钥 管 理 软件 提供 终端 实体 的 公私 钥 对 。 由 CA 的 
密 钥 管理 软件 为 终端 实体 产生 公 / 私 钥 对 , 私 钥 暂时 保存 在 密 钥 管理 层 , 不 进入 CA。CA 创 
建 请 求 者 的 证 书 并 对 其 进行 签名 后 ,以 安全 的 方式 将 终端 用 户 的 私 钥 和 对 应 的 公 钥 证 书 一 
起 分 发 给 终端 实体 ,然后 销毁 该 私 铀 。 这 种 情形 下 ,终端 用 户 的 私 钥 对 应 的 公 钥 证 书 和 解 
密 该 私 钥 的 分 割 信息 被 保存 在 有 效 证 书 颁发 列表 中 。 

(2) 密 钥 封装 为 证 书 

端 用 户 的 公 钥 连同 其 他 信息 被 CA 封装 为 数字 证 书 并 签名 ,然后 将 证 书 发 送 到 指定 的 
资源 库 中 ,例如 其 自身 携带 的 数据 库 或 系统 指定 的 目录 服务 器 中 。 

签名 时 ,CA 从 其 密 钥 池 中 随机 选取 一 对 密 钥 ,使 用 其 中 的 公 钥 为 终端 实体 签发 证 书 
(对 证 书 进行 数字 签名 )。 证 书签 发 成 功 后 ,CA 将 证 书 和 这 对 密 钥 的 ID 存 人 其 有 效 证 书 颁 
发 表 中 。 最 后 ,CA 根据 证 书 的 不 同类 型 ,把 证 书 分 别 存放 在 其 加 密 证 书 颁发 表 和 签名 证 书 
颁发 表 中 。 

(3) 密 钥 使 用 

用 户 从 注册 中 心 或 其 指定 的 服务 器 下 载 端 用 户 的 证 书后 ,对 该 证 书 中 的 CA 签名 进行 
验证 ,同时 查看 证 书 有 效 期 和 证 书 持 有 者 名 称 等 信息 后 ( 即 进 行 证 书 验 证 ), 即 可 以 使 用 该 公 
钥 进 行 加 密 或 签名 验证 等 服务 。 

(4) 密 钥 过 期 

密 钥 超过 有 效 期 后 即 过 期 。 密 钥 过 期 将 触发 密 钥 更 新 过 程 。 

(5) 密 钥 更 新 

密 钥 过 期 后 ,需要 从 旧 的 密 钥 中 产生 新 的 密 钥 ,这 时 进入 密 钥 更 新 周期 ; 同时 ,在 证 书 
未 过 期 时 用 户 提交 证 书 更 新 请 求 也 将 触发 密 钥 更 新 。 密 钥 更 新 后 将 重新 开始 密 钥 生命 周 
期 。 用 户 可 以 直接 向 CA 提交 证 书 更 新 请 求 ,CA 也 可 以 在 一 个 合法 的 密 钥 对 过 期 时 (或 接 
近 过 期 时 ) ,自动 进行 新 的 公 / 私 钥 的 自动 产生 和 相应 证 书 的 颁发 。 密 钥 更 新 后 , 旧 的 证 书 进 
入 “证 书 废止 和 撤销 ”阶段 ( 见 4. 6. 3 节 ) 。 


4.6.3 证 书生 命 周期 


(1) 证 书 申请 

证 书 申请 包括 密 钥 对 生成 ( 见 4. 6. 2 节 ) 和 信息 登记 两 部 分 。 前 者 为 端 用 户 ( 证 书 申请 
者 ) 生 成 并 保存 密 钥 对 的 过 程 .后 者 是 为 了 申请 证 书 , 申 请 者 向 认证 机 构 提 交 证 书 相 关 信 息 
的 过 程 ,这 些 信息 包括 证 书 持 有 者 的 电子 邮件 、 通 用 名 组织 单 位 、 组 织 和 国家 等 。 

端 用 户 产生 的 私 钥 被 保存 在 其 本 地 安全 存储 空间 ,而 公 钥 作为 证 书 申请 信息 的 一 部 分 ， 
连同 其 他 信息 被 发 送 至 CA 进行 证 书 申请 。 一 般 由 用 户 通过 支持 PKI 的 应 用 程序 ,如 Web 
浏览 器 向 认证 机 构 申 请 数字 证 书 。 

当 用 户 密 钥 对 由 CA 的 密 钥 管理 中 心 (或 密 钥 管理 软件 ) 生 成 时 ,证 书 申请 中 可 以 不 包 
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括 用 户 的 公 钥 ,而 只 包括 证 书 申请 信息 , 公 钥 可 从 CA 的 密 钥 管理 中 心 获 得 。 

(2) 证 书 请 求 校 验 

端 用 户 的 证 书 请 求 发 送 到 CA 后 ,通常 ,CA 的 注册 中 心 RA 验证 用 户 的 证 书 请 求 。 校 
验 的 过 程 需要 保证 证 书 持 有 者 的 名 称 在 整个 CA 中 是 唯一 的 ,并 且 该 名 称 是 用 户 的 真实 名 
称 。 校 验 通过 后 ,RA 将 通过 校 验 的 用 户 证 书 请 求 提交 给 CA。 

(3) 证 书生 成 

证 书生 成 包括 证 书 的 创建 和 签名 。 用 户 的 证 书 申请 通过 校 验 后 ,CA 处 理 该 证 书 请 求 ， 
利用 证 书 申请 中 的 部 分 登记 信息 ,结合 其 他 信息 生成 数字 证 书 , 并 且 使 用 自己 的 私 钥 对 证 书 
进行 签名 。 

(4) 证 书 发 布 

认证 中 心 在 生成 用 户 证 书 之 后 ,会 把 用 户 的 证 书 发 送 到 指定 的 资源 库 中 ,如 内 部 目录 服 
务 或 公用 服务 器 ,以 便 证 书 的 使 用 者 获得 该 证 书 , 并 验证 证 书 的 合法 性 。 

(5) 证 书 存储 

端 用 户 或 证 书 的 使 用 者 从 认证 中 心 (或 认证 中 心 指定 的 公用 服务 器 ) 下 载 证 书后 ,应 将 
证 书 保存 在 用 户 计算 机 的 安全 空间 内 。 可 以 将 证 书 保存 在 证 书 持 有 者 计算 机 硬盘 的 秘密 空 
间 里 ,一般人 无 法 存 取 ,但 可 以 通过 应 用 程序 提供 的 接口 或 浏览 器 导出 ,存储 在 证 书 使 用 者 
的 计算 机 里 以 供 使 用 和 备份 。 

(6) 证 书 验证 

不 同 于 证 书 请 求 校 验 ,证 书 验 证 是 指证 书 的 使 用 者 (使 用 证 书 中 的 公 钥 进行 加 密 或 
签名 验证 的 用 户 ) 在 给 定 的 目标 证 书 和 一 个 可 信 密 钥 ( 信 任 锚 ) 之 间 找 到 一 个 完整 的 路 
径 ,并 且 检 查 路 径 上 每 个 证 书 的 合法 性 .以 确认 该 证 书 中 的 公 钥 是 证 书 持 有 者 的 合法 有 
效 的 密 钥 。 

以 CA 层次 结构 模型 为 例 ,假设 域内 所 有 证 书 均 存放 在 同一 个 目录 服务 器 中 , 则 只 要 以 
目标 证 书 的 发 布 者 (签发 该 证 书 的 CA) 作 为 主题 ,在 目录 服务 器 中 沿 着 证 书信 任 链 (CA 层 
次 结构 中 的 信任 树 ) 寻 找 颁 发 者 的 证 书 , 直 到 找到 发 布 者 名 字 和 证 书 颁发 者 名 字 相 同 的 那 张 
证 书 , 即 该 域内 的 根 证 书 。 然 后 ,系统 验证 证 书 路 径 上 每 个 证 书 的 合法 性 ,包括 证 书 是 由 
可 信 CA 签发 的 ,进行 证 书 的 数据 完整 性 验证 ,确认 证 书 处 在 有 效 期 内 并 且 证 书 没有 被 撤 
销 ( 不 在 证 书 废止 列表 CRL 中 )。 此 外 .根据 需要 ,还 可 以 验证 证 书 的 使 用 方式 和 策略 限 
制 等 。 

(7) 证 书 废止 和 撤销 

有 多 种 原因 可 能 导致 证 书 被 废止 或 撤销 ,如 证 书 持 有 者 的 私 钥 损坏 或 丢失 、 密 钥 和 证 书 
过 期 .由 于 某 种 原因 证 书 持 有 者 向 认证 机 构 发 出 证 书 撤销 请 求 等 。 

CA 撤销 证 书 时 ,会 把 证 书 从 其 目录 服务 器 和 CA 有 效 证 书 列表 中 删除 ,然后 将 其 置 于 
CA 的 归档 证 书 列表 中 ; 如 果 该 证 书 尚未 过 期 ( 即 证 书 持 有 者 在 证 书 未 过 期 的 情况 下 ,向 认 
证 中 心 CA 发 出 证 书 撤销 请 求 ) ,CA 还 需要 把 该 证 书 置 于 证 书 撤销 列表 CRL 中 。 
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4.7 了 PKI 相关 标准 


PKI 标准 使 得 多 个 PKI 系统 之 间 可 以 交互 ,并 且 可 以 使 不 同 应 用 程序 面 对 单 一 的 、 固 
定 的 接口 。 如 图 4. 13 所 示 ,PKI 体系 的 标准 包括 ASN. 1、X. 509、LDAP、PKIX 和 PCKS 
等 。 由 这 些 标准 定义 和 实现 的 PRT 条 移 且 以 虹 人 元 各 实生 肌 用 胁 议 的 交 舍 ， 如 SSL/TLS、 
IPSEC/PPTP、S/MIME 和 SET 等 ,这 些 PKI 应 用 协议 具有 其 各 自 的 协议 标准 ,不 属于 
PKI 体系 标准 的 规定 范围 。 在 这 些 应 六 用 协议 之 上 ,又 可 以 提供 多 种 安全 服务 或 构建 各 种 安 
全 应 用 系统 ,如 安全 电子 邮件 .网 上 银行 和 虚拟 专用 网 (VPN) 等 。 本 节 给 出 PKI 体系 自身 
的 相关 标准 ,对 于 PKI 应 用 协议 及 其 相关 标准 将 在 4. 9 节 简 述 , 并 且 在 本 书后 面 的 相应 章 
节 中 详细 描述 其 原理 、 应 用 和 实施 。 


网 人 
i 网 上 购物 这 

虚拟 专用 安全 ”| 应 用 系统 

WWW Cl 

网 VPN Sms 服 | 电子 邮件 | 或 服务 
安全 电 了 商务 
全 电子 政务 

SET IPSec SSL/TLS S/MIME 由 用 

协议 
ASN.1 X.509 LDAP PKIX PCKS PKI 体 系 


图 4.13 PKI 相关 标准 及 应 用 体系 
从 整个 PKI 体系 建立 与 发 展 的 历程 来 看 .PKI 体系 自身 主要 包括 以 下 一 些 标准 。 


1. ASN. 1 基本 编码 规则 


为 了 保证 通过 网 络 进行 有 效 的 数据 传输 ,ISO 和 ITU-T 为 7 层 网 络 协议 中 的 应 用 层 数 据 
通信 和 制定 了 一 种 标准 的 数据 类 型 描述 语言 . 称 为 抽象 语法 描述 (abstract syntax notation. 1 ， 
ASN.1)。 

ASN.1 是 ISO 和 ITU-T 的 联合 标准 ,最 初 是 CCITT X. 409:1984 的 一 部 分 。 由 于 其 
广泛 应 用 ,1988 年 ASN. 1 移 到 独立 标准 X. 208,1995 年 进行 全 面 修订 后 变 成 X. 680 系列 
标准 。ASN. 1 本 身 只 定义 了 表示 信息 的 抽象 语法 ,但 是 没有 限定 其 编码 的 方法 。X. 680 描 
述 了 它 的 基本 语法 规范 ,X. 690 及 其 修正 版 对 于 按照 ASN. 1 语法 实现 的 几 种 编码 方法 和 具 
体 编码 规则 进行 了 规定 。 

各 种 ASN. 1 编码 规则 提供 了 由 ASN. 1 描述 其 抽象 语法 的 数据 的 值 的 传送 语法 (具体 
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表达 ) 。 标 准 的 ASN. 1 编码 规则 有 基本 编码 规则 (basic encoding rules, BER) ,规范 编码 规 
则 (canonical encoding rules,CER) ,唯一 编码 规则 (distinguished encoding rules,DER) 、 压 
缩编 码 规则 (packed encoding rules,PER) 和 XML 编码 规则 (XML encoding rules, XER)。 
目前 在 PKI 的 相关 协议 和 应 用 中 ,所 有 数据 标准 .格式 和 结构 定义 均 采 用 ASN. 1 语法 
进行 描述 ,包括 证 书 、 黑 名 单 .扩展 项 和 管理 协议 等 。 几 乎 所 有 的 PKI 系统 都 是 基于 ASN. 1 
和 DER(distinguised encoding rules for ASN. 1) 实 现 的 , 它 已 成 为 支持 PKI 和 公 钥 密码 体 
制 的 应 用 系统 之 间 互 通 的 桥梁 。 
ASN. 1 主要 用 于 证 书 的 语法 及 编码 规则 描述 , 它 并 不 规定 证 书 的 字段 内 容 , 证 书 的 字 
段 由 X. 509 定义 。 
例如 ,X. 509 公 钥 证 书 格式 的 ASN. 1 的 部 分 语法 描述 如 下 : 
Certificate: : = SIGNED!{ SEQUENCE{ 
version[ 0] 
serialNumber 


signature 
issuer 


validity 

subject 
subjectPublicKeyInfo 
issuerUniqueIdentifier 


extensions}} 


2. X. S00 


X. 500 是 一 套 已 经 被 国际 标准 化 组 织 (international organization for standards,ISO) 接 
受 的 目录 服务 系统 标准 , 它 定 义 了 一 个 机 构 如 何在 全 局 范围 内 共享 其 名 字 和 与 之 相关 的 对 
象 。X. 500 是 层次 性 的 ,其 中 的 管理 域 可 以 提供 这 些 域内 的 用 户 和 资源 信息 。 

X. 500 实际 上 不 是 一 个 协议 , 它 由 一 个 协议 族 组 成 : X. 501 模型 强调 目录 服务 基本 模 
型 和 概念 ; X. 509 认证 框架 规定 如 何在 X. 500 中 处 理 目录 客户 和 服务 器 的 认证 ; X. 511 抽 
象 服务 定义 X. 500 提供 的 功能 性 服务 ; X. 518 分 布 式 操作 过 程 表明 如 何 跨越 多 台 服 务 器 处 
理 目 录 服 务 ; X. 519 包括 目录 访问 协议 (directory access protocol,DAP) .目录 系统 协议 
(directory system protocol, DSP) .目录 操作 绑 定 协议 (directory operator protocal,DOP) 和 
目录 信息 映像 协议 (directory information shadowing protocol, DISP)。 

在 这 些 X. 500 标准 中 主要 定义 有 多 种 内 容 。 一 个 信息 模型 : 确定 目录 中 信息 的 格式 和 
字符 集 , 如 何在 项 中 表示 目录 信息 (定义 对 象 类 、 属 性 等 模式 ); 一 个 命名 空间 : 确定 对 信息 
进行 的 组 织 和 引用 ,如 何 组 织 和 命名 项 一 一 目录 信息 树 (directory information tree, DIT) 和 
层次 命名 模型 ; 一 个 功能 模型 : 确定 可 以 在 信息 上 执行 的 操作 ; 一 个 认证 框架 : 保证 目录 
中 信息 的 安全 ,如 何 实 现 目 录 中 信息 的 授权 保护 一 一 访问 控制 模型 ; 一 个 分 布 操作 模型 : 
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确定 数据 如 何 进 行 分 布 和 如 何 对 分 布 数据 执行 操作 ,如 何 将 全 局 目录 树 划 分 为 管理 域 进行 
管理 一 一 目录 管理 模型 ,客户 端 与 服务 器 通信 的 协议 一 一 目录 访问 协议 ,将 用 户 请 求 在 服务 
器 之 间 进 行 链接 所 需 的 目录 系统 协议 ,将 选 定 的 信息 在 服务 器 之 间 进 行 复制 所 需 的 目录 信 
息 映 像 协 议 (directory information shadowing protocol,DISP) ,用 于 自动 在 服务 器 之 间 协 商 
连接 配置 的 目录 操作 绑 定 协议 DOP。 

X. 500 虽然 是 一 个 完整 的 目录 服务 协议 ,但 在 实际 应 用 的 过 程 中 , 却 存在 着 不 少 障碍 。 
由 于 目录 访问 协议 是 严格 遵照 复杂 的 ISO7 层 协 议 模 型 制定 的 ,对 相关 层 协 议 环境 要 求 过 
多 ,主要 运行 在 Unix 机 器 上 ,在 许多 小 系统 上 ,如 PC 和 Macintosh 上 无 法 使 用 ,因此 没有 
多 少 人 按照 DAP 开发 应 用 程序 ,TCP/IP 协议 体系 的 普及 ,更 使 得 这 种 协议 越 来 越 不 适应 

在 PKI 体系 中 ,一般 采 用 X. 500 建议 的 目录 服务 器 作为 数字 证 书 .CRL 和 黑 名 单 等 的 
发 布 。 但 由 于 X. 500 实施 复杂 ,在 PKI 的 实际 应 用 中 ,一 般 采 用 X. 500 的 简化 版 本 
LDAP 来 实现 证 书 的 发 布 和 查询 服务 。 


3. X.509 


X. 509 是 由 国际 电信 联盟 (ITU-T) 制 定 的 数字 证 书 标准 。 在 X. 500 确保 用 户 名 称 唯 
一 性 的 基础 上 ,X. 509 为 X. 500 用 户 名 称 提供 了 通信 实体 的 鉴别 机 制 , 并 规定 了 实体 鉴别 
过 程 中 广泛 适用 的 证 书 语法 和 数据 接口 。 这 一 标准 的 最 新 版 本 是 X. 509 v3, 它 定义 了 包 
含 扩 展 信息 的 数字 证 书 。 该 版 数字 证 书 提供 了 一 个 扩展 信息 字段 ,用 来 提供 更 多 的 灵活 
性 及 特殊 应 用 环境 下 所 需 的 信息 传送 。X. 509 标准 定义 的 证 书 是 目前 普遍 使 用 的 证 书 
格式 。 


4. PKIX 


如 前 所 述 ,在 X. 509 标准 的 基础 上 ,IETF PKIX 工作 组 制定 了 支持 X. 509 PKI 的 系列 
协议 标准 , 即 PKIX., 它 定义 了 在 Internet 上 利用 X. 509 证 书 实现 PKI 体系 结构 的 具体 操作 
细节 和 规范 。 典 型 的 协议 及 其 标准 如 下 。 

(1) 证 书 和 CRL 标准 

为 了 在 全 球 范围 内 通过 Internet 建立 基于 X. 509 v3 的 公 钥 证 书 体系 ,IETF 的 PKIX 
工作 组 开发 了 一 系列 证 书 和 CRL 相关 标准 ,其 中 最 重要 的 是 PKIX 证 书 和 CRL 大 纲 (RFC 
2459 和 RFC 3280: PKIX certificate and CRL profile, 后 者 是 对 前 者 的 更 新 )。 这 些 文档 描 
述 了 X. 509 v3 公 钥 证 书 的 内 容 及 其 扩展 项 的 取 值 范围 .PKI 证 书 和 CRLs 的 格式 和 语法 ， 
以 及 在 Internet 环境 中 证 书 路 径 处 理 的 步骤 ,还 给 出 了 可 用 于 所 有 数据 结构 的 ASN. 1 模 
块 等 。 

其 他 主要 相关 协议 标准 包括 如 下 内 容 。 

。 RFC 4630LUpdate to DirectoryString Processing in the Internet X. 509 Public Key 
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Infrastructure Certificate and Certificate Revocation List(CRL)Profile]: PKIX 证 
书 和 CRL 中 的 目录 字符 串 处 理 更 新 。 此 文档 描述 了 对 PKIX 证 书 和 CRL 中 目录 
字符 串 操作 的 更 新 ,其 中 ,UTF8 字符 串 和 可 打印 的 字符 串 是 首选 的 编码 方式 。 

。 RFC 3039[Internet X. 509 Public Key Infrastructure Qualified certificates |]: PKIX 

资格 证 书 。 为 了 从 法 律 上 支持 数字 签名 ,必须 引入 一 些 基 本 要 求 以 限制 公 钥 证 书 ， 
这 种 证 书 称 为 资格 证 书 。1998 年 12 月 ,IETF PKIX 工作 组 将 RFC 2459 进一步 改 
进 使 PKIX 公 钥 证 书 能 够 支持 资格 证 书 ,这 些 改进 在 RFC 3039 中 进行 了 描述 。 

。 RFC 3281[ An Internet Attribute certificate profile for authorizations]: 支持 授权 的 
属性 证 书 大 纲 。 按 照 ITU 的 定义 ,属性 证 书 不 同 于 公 钥 证 书 , 它 是 指 对 用 户 属性 和 
其 他 信息 使 用 CA 私 钥 进行 签名 而 形成 的 证 书 。 和 X. 509 公 钥 证 书 类 似 , 属 性 证 书 
也 是 一 个 复杂 的 结构 ,包括 基本 字段 和 一 系列 可 扩展 项 。RFC 3281(An Internet 
Attribute certificate profile for authorizations) 中 的 属性 证 书 大 纲 描 述 了 属性 证 书 
的 内 容 及 其 扩展 项 ,同时 定义 了 X. 509 属性 证 书 需 要 支持 授权 服务 时 所 采用 的 数据 
格式 。 

(2) 在 线 证 书 状态 协议 (OCSP) 

OCSP(online certificate status protocol) 是 IETF 颁布 的 用 于 检查 数字 证 书 在 某 一 交 
易 时间 是 否 有 效 的 标准 。 在 OCSP 之 前 ,用 户 只 能 使 用 下 载 和 处 理 证 书 撤销 清单 CRL 的 方 
式 检查 证 书 的 有 效 性 ,而 CRL 方式 存在 效率 低 、 网 络 资源 消耗 大 等 缺点 。OCSP 为 PKI 提 
供 了 一 种 比 下 载 和 处 理 CRL 的 传统 方式 更 快 、 更 方便 和 更 具 独 立 性 的 检验 数字 证 书 有 效 性 
的 途径 。OCSP 请 求 是 独立 于 协议 的 (HTTP 是 通用 的 方式 ) 。 

与 OCSP 相关 的 PKIX RFC 文档 包括 RFC 2560(X. 509 Internet public key infrastructure 
online certificate status protocoD) 以 及 RFC 5019(The Lightweight Online certificate status 
protocol profile for high-volume environments)。 前 者 定义 了 使 用 OCSP 进行 证 书 状 态 查 
询 的 应 用 程序 (OCSP 客户 端 ) 和 OCSP 服务 器 之 间 进 行 消息 交换 的 数据 格式 ,包括 OCSP 
请 求 和 应 答 消 息 以 及 各 种 消息 的 语法 。 后 者 给 出 了 大 型 PKI 环境 下 的 轻 量 级 在 线 证 书 状 
态 协 议 , 此 协议 用 于 大 型 PKI 环境 下 的 在 线 证 书 状态 的 确认 ,也 适用 于 需要 轻 量 级 解决 方 
案 来 减 小 通信 带宽 及 客户 端 进程 的 PKI 环境 。 

(3) PKIX 操作 协议 

X. 509 PKI 体系 中 的 相关 实体 通过 PKIX 操作 协议 获得 证 书 、.CRL 或 证 书 状态 等 信 
息 ,PKIX 操作 协议 规定 了 通过 DNS、LDAP、FTP、TCP/IP、.HTTP 和 MIME 等 协议 来 发 布 
和 查询 证 书 或 CRL 等 的 具体 过 程 。OCSP 也 属于 PKIX 操作 协议 的 一 部 分 ,其 他 主要 
PKIX 操作 协议 包括 : 

。 RFC 2559 [PKIX operational protocols-LDAPv2]: 描述 使 用 LDAPv2 作为 PKI 实 

体 发 布 和 获取 证 书 及 CRL 的 协议 。 
。 RFC 2587[PKIX LDAPv2 Schemaj]: 定义 了 一 个 最 小 模型 支持 使 用 LDAPv2 获取 
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公 钥 证 书 和 CRL。 

。 PKIX Operational Protocol ~ LDAPv3 一 draft-ietf-pkix-ldap-v3-05. txt 盖 : 是 一 个 
IETF 草案 ,描述 了 LDAPv3 版 本 中 ,支持 基于 X. 509 证 书 和 CRL 所 需要 的 一 些 新 
特征 。 

。 RFC 2585[ Internet X. 509 Public Key Infrastructure Operational Protocols: FTP 
and HTTP ]: FTP 和 HTTP 的 PKIX 操作 协议 。 这 个 协议 是 一 组 采用 X. 509 和 
CRLs 的 标准 Internet 公 钥 基础 设施 的 一 部 分 ,描述 了 使 用 FTP 和 HTTP 从 PKI 
证 书库 中 获得 证 书 和 CRLs 的 标准 。 

。 RFC 2875[Diffie-Hellman Proof-of-Possession Algorithms]: 描述 了 使 用 D-H 密 钥 
交换 算法 在 类 似 PKCS# 10 的 证 书 请 求 中 用 于 数据 完整 性 检查 和 数据 拥有 者 证 明 
的 方法 。 


(4) PKIX 管理 协议 
PKIX 管理 协议 定义 了 X. 509 PKI 用 户 和 其 管理 实体 之 间 在 线 交 互 时 使 用 的 各 种 管理 


协议 ,管理 协议 分 为 两 部 分 ,一 部 分 定义 了 管理 协议 传输 的 信息 格式 , 另 一 部 分 定义 了 控制 
这 些 信 息 传递 的 传输 协议 。 主 要 包括 如 下 相关 协议 。 


。 RFC 2797[ Certificate Management Messages over CMS]: CMS 证 书 管 理 协 议 。 利 
用 CMS 来 进行 证 书 管理 的 协议 , 它 列 出 了 两 项 在 Internet PKI 中 的 即时 需求 : 对 
公 钥 证 书 产品 和 基于 CMS 的 服务 的 接口 的 需求 ,对 采用 D 一 H 公 钥 算法 进行 DSA 
证 书签 名 的 证 书 登记 协议 的 需求 。 

。 RFC 4210 [Internet X. 509 Public Key Infrastructure Certificate Management 
Protocols]: PKIX 证 书 管理 协议 。 此 协议 描述 了 PKIX 的 证 书 管理 (CMP)。 证 书 
管理 为 PKI 组件 之 间 提 供 了 在 线 交 互 功 能 ,包括 CA 和 客户 端 系统 的 交互 。 

。 RFC 4211[Internet X. 509 Public Key Infrastructure Certificate Request Message 
Format(CRMF)]: PKIX 证 书 请 求 消息 格式 。 此 文档 描述 了 证 书 请 求 消息 的 格式 
和 语法 。 此 语法 用 于 发 送 一 个 证 书 请 求 给 CA( 可 能 通过 RA) 以 获得 X. 509 的 证 书 
产品 。 


其 他 协议 和 标准 包括 证 书 管理 政策 和 证 书 操作 规范 、 提 供 抗 抵赖 的 时 间 蕉 和 数据 认证 


服务 等 。 


5. 轻 量 级 目录 访问 协议 
轻 量 级 目录 访问 协议 (lightweight directory access protocol,LDAP) 是 一 个 Internet 协 


议 ,用 来 存 取 基于 X. 500 的 目录 服务 ,LDAP 规范 简化 了 X. 500 目录 访问 协议 ,并 且 在 功能 
性 、 数 据 表 示 、 编 码 和 传输 方面 都 进行 了 相应 的 修改 。1997 年 ,LDAPv3 成 为 互联 网 标准 ， 
由 IETF LDAPext 来 定义 和 进行 标准 化 。 


LDAP 协议 从 1993 年 批准 ,产生 了 LDAPv1 版 本 ,随后 于 1997 年 发 布 了 第 三 个 版 本 
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LDAPv3, 它 的 出 现 是 LDAP 协议 发 展 的 一 个 里 程 碑 性 标志 , 它 使 LDAP 协议 不 仅仅 作为 
X. 500 的 简化 版 ,同时 提供 了 LDAP 协议 许多 自 有 的 特性 ,使 LDAP 协议 功能 更 为 完备 , 具 
有 了 更 大 的 生命 力 。 

LDAPv3 是 一 个 协议 族 。 

。 RFC 2251: LDAPv3 核心 协议 ,定义 了 LDAPv3 协议 的 基本 模型 和 基本 操作 。 

。 RFC 2252: 定义 了 LDAPv3 中 的 基本 数据 模式 (Schema) (包括 语法 、 匹 配 规则 、 属 

性 类 型 和 对 象 类 ) 以 及 标准 的 系统 数据 模式 。 

。 RFC 2253: 定义 了 LDAPv3 中 的 分 辨 名 (CDN) 表 达 方 式 。 

。 RFC 2254: 定义 了 LDAPv3 中 的 过 滤器 的 表达 方式 。 

。 RFC 2255: LDAP 统一 资源 地 址 的 格式 。 

。 RFC 2256: 在 LDAPv3 中 使 用 X. 500 的 Schema 列表 。 

。 RFC 2829: 定义 了 LDAPv3 中 的 认证 方式 。 

。 RFC 2830: 定义 了 如 何 通 过 扩展 使 用 TLS 服务 。 

。 RFC 1823: 定义 了 LDAP 客户 端 API 开发 接口 。 

。 RFC 2847: 定义 了 LDAP 数据 导入 、 导 出 文件 接口 。 

在 这 些 协 议 中 ,主要 定义 了 LDAP 的 内 容 , 同 时 主要 定义 了 一 个 信息 模型 : 确定 LDAP 
目录 中 信息 的 格式 和 字符 集 ,如 何 表 示 目 录 信 息 ( 定 义 对 象 类 、 属 性 、 匹 配 规 则 和 语法 等 模 
式 ); 一 个 命名 空间 : 确定 对 信息 进行 的 组 织 方式 目录 信息 树 ,以 DN(Cdistinguished 
name) 和 RDN(relative distingushed name) 为 基础 的 命名 方式 ,以 及 LDAP 信息 的 Internet 
表示 方式 ; 一 个 功能 模型 : 确定 可 以 在 信息 上 执行 的 通信 协议 以 及 在 客户 端 进行 这 些 操 作 
的 APICapplication programming interface) 接 口 ; 一 个 安全 框架 : 保证 目录 中 信息 的 安全 ， 
匿名 、 用 户 名 /密码 .SASL(simple authentication and security layer) 等 多 种 认证 方式 ,以 及 
与 TLS 结合 的 通信 保护 框架 ; 一 个 分 布 式 操作 模型 : 基于 Referral 方式 的 分 布 式 操作 框 
架 ; 一 个 LDAP 扩展 框架 : 基于 控制 和 扩展 操作 的 LDAP 扩展 框架 。 

LDAP 目录 存储 的 数据 不 是 关系 型 数据 库 ,LDAP 条 目 组 织 一 般 按 照 地理 位 置 和 组 织 
关系 进行 组 织 ,非常 直观 。LDAP 可 提供 快速 响应 和 大 容量 查询 服务 ,并且 提 供 多 目录 服务 
器 的 信息 复制 功能 ,并 且 人 允许 根据 需要 使 用 访问 控制 列表 ACL(access control list) 控 制 对 
数据 读 和 写 的 权限 。 

大 多 数 的 LDAP 服务 器 都 为 读 密集 型 的 操作 进行 专门 的 优化 。 因 此 当 从 LDAP 服务 
器 中 读 取 数据 的 时 候 会 比 从 关系 型 数据 库 中 读 取 数据 快 一 个 数量 级 。 同 时 因为 没有 对 写 操 
作 的 性 能 进行 任何 优化 ,所 以 大 多 数 LDAP 目录 服务 器 并 不 适合 存储 需要 经 常 改变 的 数 
据 。LDAP 的 这 些 特 性 使 得 其 非常 适合 用 来 存储 数字 证 书 。 目 前 ,LDAPv3 已 经 在 PKI 体 
系 中 被 广泛 应 用 于 证 书信 息 发 布 .CRL 信息 发 布 `.CA 政策 以 及 与 信息 发 布 相关 服务 ,提供 
数字 证 书 的 存储 、 发 布 和 查询 服务 。 
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6. 


公 钥 密码 学 标准 PKCS 


PKCS(public-key cryptography standard) 是 由 美国 RSA 数据 安全 公司 及 其 合作 伙伴 
制定 的 一 组 公 钥 密码 学 标准 ,定义 了 公开 密 钥 的 加 密 .交换 数据 加 密 、 签 名 .证书 请 求 、 密 钥 
存放 和 多 种 新 兴 加 密 算法 标准 ,其 中 大 多 数 被 广 为 应 用 ,成 为 事实 上 的 工业 标准 ,其 中 包括 
证 书 申请 、 证 书 更 新 .证 书 作 废 表 发 布 .扩展 证 书 内 容 以 及 数字 签名 .数字 信封 的 格式 等 方面 
的 一 系列 相关 协议 。 到 1999 年 年 底 ,PKCS 已 经 公布 了 以 下 标准 。 


PKCS#1: 定义 RSA 公开 密 钥 算法 加 密 和 签名 机 制 ,主要 用 于 组 织 PKCS#7 中 所 
描述 的 数字 签名 和 数字 信封 。 

PKCS# 3: 定义 Diffie-Hellman 密 钥 交换 协议 。 

PKCS#5: 描述 一 种 利用 从 密码 派生 出 来 的 安全 密 钥 加 密 字 符 串 的 方法 。 使 用 
MD2 或 MD5 从 密码 中 派生 密 钥 ,并 采用 DES 一 CBC 模式 加 密 。 主 要 用 于 加 密 从 
一 个 计算 机 传送 到 另 一 个 计算 机 的 私人 密 钥 ,不 能 用 于 加 密 消息 。 

PKCS#6: 描述 了 公 钥 证 书 的 标准 语法 ,主要 描述 X. 509 证 书 的 扩展 格式 。 
PKCS#7: 定义 一 种 通用 的 消息 语法 ,包括 数字 签名 和 加 密 等 用 于 增强 的 加 密 机 
制 ,PKCS#7 与 PEM 兼容 ,所 以 不 需 其 他 密码 操作 ,就 可 以 将 加 密 的 消息 转换 成 
PEM 消息 。 

PKCS#8: 描述 私有 密 钥 信息 格式 ,该 信息 包括 公开 密 钥 算法 的 私有 密 钥 以 及 可 选 
的 属性 集 等 。 

PKCS#9: 定义 一 些 用 于 PKCS#6 证 书 扩展 .PKCS#7 数字 签名 和 了 PKCS# 8 私 钥 
加 密 信息 的 属性 类 型 。 

PKCS# 10: 描述 证 书 请 求 语法 。 

PKCS#11: 定义 了 一 套 独 立 于 技术 的 程序 设计 接口 ,用 于 智能 卡 和 PCMCIA 卡 之 
类 的 加 密 设 备 。 

PKCS#12: 描述 个 人 信息 交换 语法 标准 。 描 述 了 将 用 户 公 钥 、 私 钥 、 证 书 和 其 他 相 
关 信 息 打包 的 语法 。 

PKCS#13: 椭圆 曲线 密码 体制 标准 。 

PKCS#14: 伪 随 机 数 生成 标准 。 

PKCS#15: 密码 令 牌 信息 格式 标准 。 


在 PKI 系统 中 ,PKCS 标准 被 广泛 运用 于 证 书 申请 数据 加 密 和 签名 、 密 钥 存 储 、 密 钥 传 
输 等 。 例 如 ,在 PKI 系统 中 , 端 用 户 的 证 书 申请 应 符合 PKCS# 10 标准 ; 使 用 密码 保护 用 户 
的 RSA 私 钥 采用 PKCS#8 定义 的 方式 实现 ; 公 / 私 钥 和 相应 的 证 书 通 常 保存 在 一 个 应 用 
指定 的 密 钥 存储 中 ,这 些 密 钥 存储 通常 提供 一 个 标准 API 接口 ,以 便 使 用 API 的 其 他 应 用 
可 以 共享 对 相同 密 钥 资料 的 访问 ,在 Netscape 和 许多 UNIX 平台 的 应 用 中 ,这 个 接口 符合 
PKCS#11 标准 。 
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和 X. 509、LDAP 一 样 ,PCKS 被 PKIX 体系 结构 和 系列 标准 所 支持 。 


7. WPKI 


从 原理 上 说 ,无 线 PKI 和 Internet PKI 没有 根本 区 别 ,同样 可 以 建立 基于 X. 509 证 书 
的 PKI 体系 来 保证 无 线 安 全 。 但 在 目前 的 无 线 应 用 中 ,必须 考虑 到 无 线 终端 (手机 、 手 持 终 
端 等 ) 的 容量 小 、 处 理 能 力 低 以 及 无 线 网 络 的 带宽 比 Internet 窄 等 多 种 因素 ,因此 要 求 尽量 
减 小 证 书 数据 长 度 , 以 节省 终端 存储 资源 和 无 线 带 宽 资 源 ; 尽量 减少 证 书 处 理 难 度 , 减 轻 终 
端 对 处 理 能 力 的 要 求 ,提高 效率 。 

WPKI 目 前 有 比较 多 的 体系 ,但 多 数 是 企业 标准 ,真正 开放 的 标准 目前 只 有 WAP 
Forum 制定 的 WAP(wireless application protocold) 协 议 。WAP 的 目标 就 是 通过 这 种 技 
术 ,使 Internet 的 内 容 和 各 种 增值 服务 适用 于 手机 用 户 和 各 种 无 线 设 备用 户 , 并 促使 业界 采 
用 这 一 标准 。 

WTIS 类 似 于 TCP/IP 中 的 SSL, 但 由 于 手机 及 手持 设备 的 处 理 和 存储 能 力 有 限 ,WAP 论 
坛 在 TLS 的 基础 上 做 了 简化 ,提出 了 WTLS 协议 (wireless transport layer security) ,以 适应 无 
线 的 特殊 环境 。 

WPKI 既 考 虑 到 了 对 已 有 标准 的 利用 ,同时 ,也 针对 无 线 应 用 特点 ,增加 了 新 的 证 书 类 
型 : WTLS 压缩 证 书 和 证 书 URL, 同 时 对 X. 509 也 进行 了 一 些 限 制 ,以 便 应 用 于 无 线 环境 。 

与 X. 509 证 书 相 比 ,为 了 适应 无 线 应 用 环境 .WAP 协议 中 对 X. 509 证 书 进行 了 一 些 限 
制 ,如 证 书 序 列 号 建议 不 要 超过 8B(63 位 ,最 高 位 不 能 置 1); 缺少 了 subjectUniqueIdentifier 和 
issuerUniqueldentifier 两 个 可 选项 ; 签名 算法 指定 了 两 种 : shalWithRSAEncryption 和 
ecdsawith-SHA1; 公 钥 也 只 定义 了 两 种 : rsaEncryption 和 id-ecPublicKey; RSA 算法 的 密 
钥 强 度 不 能 小 于 1024 位 ,椭圆 曲线 算法 的 密 钥 强度 不 能 小 于 160 位 。 同 时 ,协议 中 规定 , 系 
统 必须 支持 的 标准 扩展 项 包括 : keyUsage,extKeyUsage, certificatePolicies, subjectAlt_ 
Name 和 basicConstraints 。 

WTSL 协议 中 ,定义 了 不 同 于 Internet X. 509 的 证 书 格式 , 它 的 证 书 大 小 约 是 X. 509 
证 书 的 40% ,而 且 在 WAP1.3, 即 WPKI 的 许可 下 ,将 会 减少 客户 /服务 器 身份 鉴别 的 负担 ， 
但 WTLS 建立 的 安全 连接 是 在 WAP 网 关 和 手持 设备 之 间 ,WAP 网 关 和 Web Server 之 间 
如 果 也 要 保密 , 则 需要 考虑 另外 的 方式 , 即 在 这 种 模型 中 无 法 实现 端 到 端的 加 密 。 

目前 PKI 体系 中 已 经 包含 了 众多 的 标准 和 相关 协议 ,由 于 PKI 技术 的 不 断 进 步 和 完 
善 ,及 其 应 用 的 不 断 普及 ,将 来 还 会 有 更 多 的 标准 和 协议 加 入 。 


4.8 成 熟 PKI 系 统 简介 


PKI 的 应 用 在 国外 已 经 有 很 多 年 ,在 商业 和 政府 中 有 着 成 熟 稳定 的 应 用 。 本 节 介 绍 商 
业 应 用 中 比较 成 熟 的 VeriSign、Entrust 等 系统 .同时 也 介绍 政府 应 用 中 比较 成 熟 的 美国 联 
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邦 PKICFPKI) 和 加 拿 大 政府 PKI(GOC PKD。 
4.8.1 商业 应 用 


1 .VeriSign 


VeriSign 是 目前 全 球 最 大 的 数字 信任 服务 提供 商 , 总 部 位 于 美国 加 利 福 尼 亚 的 山 景 
(Mountain View)。VeriSign 公司 源 于 RSA 公司 的 认证 服务 中 心 CSC(certification service 
center) 。 该 中 心 最 初 是 为 各 企业 构建 PKI/CA。1995 年 ,CSC 从 RSA 公司 分 离 出 来 成 立 
了 VeriSign。VeriSign 的 CA 系统 在 近 50 个 国家 和 地 区 运行 ,其 产品 Onsite 应 用 广泛 , 具 
有 巨大 的 用 户 群 体 , 包 括 波音 公 司 .通用 电气 和 菲 利 浦 等 。 

信任 服务 和 支付 服务 是 VeriSign 数字 认证 方面 的 两 个 主要 服务 项 目 。VeriSign 通过 
其 网 站 以 及 众多 的 ISP, 向 全 球 范围 内 的 网 站 、 软 件 开发 商 和 个 人 提供 信任 服务 ,这 其 中 包 
括 签发 专门 应 对 网 站 鉴别 和 加 密 的 SSL 服务 器 证 书 。 目 前 ,包括 亚马逊 、 雅 虎 购物 .美国 在 
线 在 内 的 全 球 26 万 余 家 网 站 安装 了 VeriSign 的 SSL 服务 器 证 书 ,VeriSign SSL 服务 器 证 
书 在 全 球 的 市 场 占有 率 高 达 90% 以 上 。VeriSign 的 支付 服务 可 以 使 客户 安全 地 处 理 和 管 
理 在 线 支付 活动 ,全 球 6 万 余 家 商户 接受 了 该 项 服务 。 另 外 ,VeriSign 还 针对 无 线 电子 商务 
提供 了 一 整套 的 PKI 解决 方案 。 

为 了 扩展 自己 的 服务 领域 和 范围 ,VeriSign 与 American Express、Checkpoint、Microsoft、 
RSA 建立 了 战略 合作 关系 ,包括 英国 法国、 德国 意大利、 澳大利亚 .巴西 .南非 中国、 日 本 
和 韩国 等 几 十 个 国家 和 地 区 在 内 的 48 家 数字 信任 服务 提供 商 加 入 了 VeriSign 信任 网 络 。 
作为 VeriSign 在 中 国 大 陆 的 首要 合作 伙伴 ,国内 的 天 威 诚信 公司 2001 年 加 入 了 VeriSign 
信任 网 络 。 

VeriSign 通过 其 基本 产品 Onsite 来 实现 信任 服务 。VeriSign 的 证 书 产品 有 安全 电子 邮件 
证 书 、SSL 服务 器 证 书 \ 设 备 证书 ( 如 VPN、Cable Modem) .WAP 证 书 和 代码 签名 证 书 等 。 

OnSite 是 一 个 完整 的 PKI 产品 ,被 用 来 对 企业 内 部 互联 网 、 外 部 网 .VPN 以 及 电子 商 
务 应 用 软件 提供 具有 最 大 限度 的 灵活 性 有 效 性 和 可 扩展 性 的 安全 服务 , 它 可 以 帮助 您 高 效 
地 建立 一 个 健壮 的 、 满 足 需 求 的 PKI 系统 。 与 纯 软 件 的 解决 方案 和 完全 由 自己 建立 PKI 系 
统 不 同 ,OnSite 可 以 使 用 户 根据 自己 的 实际 情况 灵活 地 配置 PKI 的 规模 ,充分 发 挥 自 己 的 
特长 。Onsite 提供 了 安全 Web 访问 .本 地 主机 、 密 钥 管 理 和 恢复 .证 书 确认 、 应 用 程序 工具 
包 、 双 钥 支 持 和 自动 证 书 恢复 等 功能 。 


2. Entrust 

Entrust 起 源 于 加 拿 大 北方 电信 (Nortel) 的 安全 网 络 部 门 , 总 部 设 在 美国 得 克 萨 斯 州 。 
该 部 门 最 初 也 是 为 企业 提供 PKI 解决 方案 ,他 们 的 产品 称 为 Entrust。1997 年 2 月 ,安全 网 
络 部 门 从 北方 电信 分 离 出 来 ,成 立 了 Entrust Technologies。 
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Entrust 主要 的 业务 是 为 企业 提供 PKI 产品 。1999 年 5 月 ,Entrust 通过 entrust. net 
开始 提供 面向 机 构 的 公共 Web Server 证 书 服务 。 

Entrust 公司 的 PKI 产品 是 Entrust/PKI 5.0。Entrust 的 CA 可 以 向 各 种 设备 或 应 用 
程序 颁发 数字 证 书 , 包 括 终端 PC 用 户 、Web 服务 器 、Web 浏览 器 ,VPN 设备 和 SET 用户 
等 。 凡 是 支持 X. 509 证 书 格式 的 设备 或 应 用 程序 都 可 以 获得 数字 证 书 。 此 外 ,Entrust 的 
CA 还 可 以 针对 个 别 特 殊 用 户 定制 相应 的 特殊 证 书 .并 在 这 个 特别 证 书 里 赋予 该 用 户 一 些 
特殊 权力 。 

PKI 5. 0 CA 有 较 完善 的 CA 数据 库 功 能 ,包括 数据 库 加 密 、 完 整 性 检验 .CA 专 有 硬件 、 
对 敏感 操作 的 分 级 权限 设 定 等 。PKI 5. 0 也 提供 了 较为 完善 的 密 钥 备 份 和 恢复 系统 ,支持 
所 有 的 证 书 撤销 格式 和 标准 ,包括 证 书 撤销 列表 (CRL)、CRL 分 布点 以 及 在 线 证 书 状态 协 
议 OCSP(online certificate status protocol)。Entrust PKI 5. 0 支持 国际 上 的 各 项 标准 ,如 
X. 509 格式 证 书 .CRL、OCSP、LDAP.、PKIX、PKCS.IPSec 和 SSL 等 。 


4.8.2 政府 应 用 


1. 美国 联邦 PKICFPKI) 


美国 联邦 PKICFPKI) 是 由 1996 年 成 立 的 美国 联邦 PKI 筹 委 会 与 联邦 首席 信息 官 委员 
会 共同 研究 、 建 立 的 ,用 于 解决 当时 美国 国内 不 同 信任 域 之 间 的 互 操作 性 问题 ,使 信任 域 不 
仅 局 限 在 本 信任 域 环境 中 ,而 且 可 以 使 信任 域 扩 展 到 整个 联邦 政府 甚至 是 全 球 。 联邦 PKI 
支持 在 开放 的 网 络 如 Internet 上 进行 安全 的 交易 ,用 于 保障 电子 政务 .电子 采购 的 信息 安全 
和 实现 对 关键 网 络 设备 的 保护 ,使 得 美国 联邦 机 构 可 以 与 其 他 联邦 机 构 、 各 级 政府 、 私 有 性 
质 的 贸易 伙伴 、 公 众 机 构 之 间 进 行 安 全 的 电子 交易 。 

美国 联邦 PKI 体系 主要 由 联邦 桥 CA (federal bridge CA,FBCA)、 首 级 CA (principal 
CA ,PCA) ,次 级 CA(subordinate CA ,SCA) 等 组 成 ,其 体系 结构 如 图 4. 14 所 示 。 


从 图 4. 14 中 可 以 看 出 ,联邦 PKI 体系 中 没有 a 2 
用 根 CA 的 概念 ,取而代之 的 是 首 级 CA, 这 是 因 9 


为 在 美国 ,信任 域 的 结构 是 多 种 多 样 的 ,联邦 PKI /1 
体系 可 以 支持 层级 ( 树 状 ) 结 构 、 网 状 结构 和 信任 
列表 等 ,而 只 有 层级 ( 树 状 ) 结 构 中 的 首 级 CA 才 称 


作 根 CA。 因 此 它 允许 加 入 联邦 PKI 体系 中 的 机 @ 联邦 的 标 cA 人 、、 桥 交叉 认证 对 


构 可 以 使 用 任何 结构 的 PKI 信任 域 。 联 邦 的 桥 本 2 同 级 CA 交叉 认证 对 
CA 是 联邦 PKEI 体系 中 的 核心 组 织 , 是 不 同 信任 域 。。 次 级 CA 一 一 CA 域 的 信任 链 


之 间 的 桥梁 , 它 将 不 同类 型 的 PKI 结构 连接 在 一 
起 ,实现 彼此 之 间 的 信任 ,并 将 每 一 个 单独 的 信任 


图 4.14 美国 联邦 PKI 的 体系 结构 
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域 通过 联邦 的 桥 PKI 扩展 到 整个 联邦 PKI 体系 中 。 联 邦 的 桥 CA 主要 负责 为 不 同 信任 域 
的 首 级 CA 颁发 交叉 认证 的 证 书 , 建 立 各 个 信任 域 的 担保 等 级 与 联邦 的 桥 CA 的 担保 等 级 
之 间 的 一 一 映射 关系 ,更 新 交叉 认证 证 书 , 发 布 交叉 认证 证 书 注销 黑 名 单 。 但 是 它 不 要 求 一 
个 机 构 在 与 男 一 个 机 构 发 生 信任 关系 时 必须 遵循 联邦 PKI 所 确定 的 这 种 映射 关系 ,而 是 可 
以 采用 它 认 为 合适 的 映射 关系 确定 彼此 之 间 的 信任 。 

目前 ,美国 政府 联邦 PKI 体系 还 处 于 研究 和 测试 阶段 ,已 经 完成 了 对 联邦 PKI 体系 中 
安全 电子 邮件 的 数字 签名 的 测试 。 


2. 加 拿 大 政府 PKI(GOC PKD) 

加 拿 大 对 于 政府 PKI 体系 的 研究 时 于 美国 ,在 1993 年 加 拿 大 通信 安全 部 (communications 
security establishrnent,CSE) 就 已 经 开始 了 政府 PKI 体系 的 研究 工作 ,当时 主要 是 开发 一 
种 满足 政府 需求 的 PKI 产品 ,实现 无 货架 商业 贸易 。 随 后 ,陆续 有 部 分 联邦 政府 机 构 参 入 
了 GOC PKI 体系 的 开发 工作 。 经 过 若干 年 的 研究 ,在 2000 年 ,加 拿 大 政府 在 建立 一 个 开 
放 的 PKI 体系 方面 获得 重要 的 进展 ,实现 了 联邦 政府 与 公众 机 构 、 商 业 机 构 等 进行 电子 数 
据 交换 时 的 信息 安全 保障 ,从 而 推动 了 政府 内 部 管理 的 信息 化 进程 。 加 拿 大 政府 PKI 体系 


结构 如 图 4. 15 所 示 。 
政府 管理 机 构 


中 央 认 证 机 构 


当地 注册 机 构 当地 注册 机 构 当地 注册 机 构 
图 4.15 加 拿 大 政府 PKI 体 系 结构 


如 图 4.15 所 示 , 加 拿 大 政府 PKI 体系 是 由 政策 管理 机 构 (policy maragement authority， 
PMA) .中 央 认 证 机 构 (the caradian central facility, CCF) .一 级 CA 和 当地 注册 机 构 (local 
registration authority,LRA) 组 成 。 

其 中 PMA 是 一 个 若干 部 门 共同 组 建 的 机 构 ,由 加 拿 大 政府 财政 部 秘书 处 领导 ,为 政府 
PKI 体系 提供 全 面 的 政策 指导 ,负责 监督 和 管理 加 拿 大 政府 PKI 体系 的 政策 实施 情况 。 

CCF 是 中 央 认 证 机 构 , 它 实施 政府 PKI 体系 中 的 所 有 策略 ,签署 和 管理 与 一 级 CA 交 
又 认证 的 证 书 。 

一 级 CA 是 由 政府 运营 ,制定 一 个 和 多 个 证 书 担保 的 等 级 ,分 发 和 管理 数字 证 书 , 定 期 
颁布 证 书 注销 黑 名 单 。 
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当地 注册 机 构 是 一 级 CA 设置 的 登记 机 构 或 个 人 ,其 职责 是 认证 和 鉴别 申请 者 的 身份 ; 
为 密 钥 恢复 或 证 书 恢复 请 求 进行 审批 ; 接受 并 审批 证 书 的 注销 请 求 。 

加 拿 大 政府 PKI 体系 是 一 个 完全 政府 行为 的 公开 密 钥 体系 结构 , 它 充 分 考虑 了 交易 的 
私有 性 和 安全 性 ,并 把 保护 交易 私有 性 和 安全 性 列 为 信息 高 速 公路 的 首要 问题 。 它 提供 了 
完全 一 致 的 密 钥 管理 办 法 ,并 为 加 密 和 数字 签名 提供 了 完全 相同 的 验证 过 程 ,是 数字 认证 、 
鉴别 和 智能 卡 等 多 项 技术 的 集成 。 

加 拿 大 政府 PKI 体系 的 信任 域 全 部 采用 树 状 结构 ,可 以 快速 地 实现 信任 关系 的 查找 ， 
建立 起 信任 关系 。 另 外 , 树 状 结构 的 信任 域 间 建立 信任 关系 必须 通过 中 央 认 证 机 构 ,不 允许 
一 个 树 状 结构 与 男 一 个 树 状 结构 直接 发 生 信任 关系 ,中 央 认 证 机 构 是 与 外 界 建立 信任 关系 
的 唯一 接口 ,因此 结构 简单 ,易于 操作 ,是 一 个 值得 借鉴 的 PKI 体系。 


4.9 PKI 实施 与 应 用 案例 


4.9.1 小 型 PKI 和 CA 设计 案例 


这 种 小 型 PKI 系统 不 提供 公共 服务 ,一 般 在 局 域 网 内 部 使 用 ,为 内 部 用 户 或 应 用 提供 
身份 认证 或 加 密 所 需 的 数字 证 书 服务 。 


1. 系统 需求 

企业 内 部 网 络 和 外 部 网 络 相 对 独立 ,外 部 用 户 无 法 访问 内 部 机 密 信 息 。 内 部 网 络 运 行 
电子 邮件 服务 和 WWW 服务 ,需要 提供 签名 电子 邮件 和 HTTPS 等 安全 应 用 ,需要 为 内 部 
网 络 的 这 些 安全 应 用 设计 独立 的 PKI 系统 ,要 求 PKI 系统 实现 如 下 功能 。 

。 证书 申请 。 

。 申请 人 身份 验证 。 

。 证 书 发 放 和 查询 。 

。 证 书 撤销 。 

。 证 书 更 新 。 

。 密 钥 恢复 。 

2. 系统 总 体 设计 

如 图 4. 16 所 示 ,PKI 系统 由 终端 实体 .CA 、RA 和 目录 服务 构成 。 为 CA 和 RA 设计 管 
理 客户 端 ,实现 证 书 和 系统 相关 的 管理 功能 。 终 端 实体 和 管理 客户 端 采用 HTTPS 与 CA 
和 RA 进行 交互 。 

系统 采用 单 CA 信任 模型 ,为 所 有 内 部 用 户 设立 唯一 的 CA 作为 信任 锚 。 


加 2 


CA 管理 终端 


1 


目 
证 书库 防火 墙 
图 4.16 小 型 PKI 体系 结构 示意 图 


由 于 内 部 网 络 相 对 可 信 , 使 用 集中 式 生成 密 钥 和 证 书 的 方式 ,使 用 密 钥 管 理 软件 在 CA 
服务 器 端 为 用 户 生成 密 钥 对 ,然后 采用 网 络 或 手工 复制 的 方式 将 密 钥 及 证 书 分 发 给 使 用 者 。 

系统 利用 OpenSSL 实现 CA 的 证 书 功能 ,利用 OpenLDAP 存储 用 户 证 书 和 CRL, 并 提 
供 证 书 和 CRL 查询 服务 。 

PKI 系 统 中 的 主要 实体 按 图 4. 16 所 示 方 式 设计 。 

。 终端 实体 : 由 Web 客户 端 程序 实现 ,通过 浏览 器 和 PKI 系 统 交 互 。 用 户 填写 各 种 电子 
表单 ,包括 证 书 申请 、 证 书 撤销 申请 、 密 钥 恢 复 申请 等 。 这 些 交互 信息 通过 HTTPS 
保证 其 安全 性 。 

。 CA: 通过 一 个 (plypertext preprocessor,PHP) 服 务 器 端 程序 实现 。 利 用 OpenSSL 
的 PKCS 和 X. 509 实现 ,通过 其 提供 的 API 实现 密 钥 对 .证书 和 CRL 的 生成 。 

。RA: 由 一 个 PHP 服务 器 端 程序 和 RA 管理 员 构 成 。 其 中 RA 服务 器 端 程序 接受 终 
端 实体 的 证 书 申请 请 求 , 并 将 其 保存 在 数据 库 中 。RA 管理 员 通 过 人 工 审核 的 方式 
验证 证 书 申请 人 身份 的 有 效 性 。 

。 证 书 和 密 钥 存储 : 证 书 .CRL 以 及 用 户 密 钥 对 保存 在 数据 库 中 ,同时 LDAP 服务 器 
保存 证 书 和 CRL 副本 。 

。 LDAP 服务 : 利用 OpenLDAP 实现 LDAP 服务 器 功能 .通过 其 提供 的 API 实现 证 
书 和 CRL 的 存储 、 发 布 和 查询 等 。 


3. 系统 运行 和 开发 环境 

(1) 运行 环境 

。 操作 系统 : Linux。 

。 Web 服务 器 : Apache。 

(2) 开发 工具 和 软件 包 

。 PHP: 利用 其 服务 器 端 程序 实现 CA 和 RA 服务 器 。 

。 OpenSSL: 实现 密 钥 对 生成 .证 书生 成 和 签发 .CRL 生成 等 证 书 管理 功能 。 
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。 OpenLDAP: 使 用 Linux 平台 下 的 OpenLDAP 服务 器 存储 证 书 和 CRL。 
(3) 数据 库 
采用 SQLServer 数据 库存 储 证 书 申请 及 其 他 相关 信息 。 


4. 主要 功能 的 设计 和 实现 

(1) 证 书 申请 

终端 实体 通过 Web 浏览 器 向 RA 服务 器 发 送 证 书 申请 请 求 ,RA 服务 器 端 程序 通过 
HTTPS 方式 接受 用 户 的 证 书 申请 请 求 , 并 将 证 书 申请 信息 保存 在 数据 库 中 。 

证 书 申请 信息 分 为 用 户 身份 信息 和 证 书 相关 信息 两 个 部 分 。 用 户 身 份 信息 包括 申请 人 
姓名 、 身 份 证 号 .岗位 或 职务 等 。 证 书 相关 信 息 包括 证 书 申请 序列 号 .证 书 主体 名 称 .证 书 拥 
有 者 的 国家 、 组 织 和 电子 邮件 等 。 证 书 申请 信息 还 包括 使 用 私 钥 的 PIN 密码 ,系统 利用 它 
对 用 户 私 钥 进行 保护 ,该 密码 以 消息 摘要 的 方式 保存 在 数据 库 中 。 

(2) 身份 核实 

为 了 确保 证 书 申 请 者 身份 的 真实 性 ,系统 采用 “面对面 "确认 方式 进行 身份 验证 : 用 户 
携带 个 人 有 效 证 件 给 RA 管理 员 进 行 核实 。RA 管理 员 根 据 用 户 给 出 的 证 书 申请 序列 号 从 
数据 库 中 得 到 用 户 的 身份 信息 和 证 书 申请 的 相关 信息 ,手工 审核 申请 人 真实 身份 和 数据 库 
中 相关 信息 的 一 致 性 。 系 统 通 过 修改 数据 库 中 证 书 的 状态 保存 审核 结果 。 例 如 ,管理 员 将 
证 书 状态 标志 置 为 1, 代表 已 通过 审核 ,等 待 CA 生成 证 书 ; 否则 证 书 申请 失败 ,RA 管理 员 
删除 该 申请 记录 。 

(3) 证 书生 成 与 颁发 

CA 服务 器 从 数据 库 中 读 取 已 通过 审核 的 证 书 申请 信息 。 针 对 每 条 证 书 申请 信息 ,CA 
利用 OpenSSL API 为 申请 人 生成 RSA 密 钥 对 ,然后 将 私 钥 写 入 私 钥 库 中 存档 ; CA 利用 
OpenSSL 提供 的 API 为 申请 人 生成 并 签发 X. 509v3 格式 的 证 书 , 将 证 书 保存 到 数据 库 中 ， 
同时 将 证 书 的 一 个 副本 发 布 至 LDAP 目录 服务 器 。 

(4) 密 钥 和 证 书 的 发 放 

可 以 通过 加 密 的 E-mail 方式 将 用 户 私 钥 以 及 证 书 序列 号 发 送 给 用 户 , 也 可 以 通过 带 外 
方式 实现 密 钥 和 证 书 的 发 放 , 例 如 将 密 钥 复制 到 移动 存储 介质 上 ,然后 通知 申请 人 领取 。 

(5) 证 书 查 询 

系统 提供 Web 方式 的 证 书 查 询 系统 ,用 户 通 过 Web 浏览 器 可 以 查询 已 经 颁发 的 证 书 
及 其 状态 , 单 击 相 应 的 记录 可 以 看 到 证 书 的 详细 信息 。 

(6) 证 书 更 新 

用 户 申 请 证 书 更 新 ,提交 申请 证 书 时 使 用 的 PIN(personal identification number) 密 码 、 
身份 证 号 码 , 以 及 原 证 书 的 序列 号 , 若 这 些 信 息 和 数据 库 中 保存 的 原始 信息 一 致 ,CA 服务 
器 就 为 该 用 户 更 新 证 书 。 证 书 更 新 过 程 和 生成 证 书 的 过 程 相 同 ,只 是 使 用 新 生成 的 密 钥 对 
和 证 书 来 更 新 密 钥 表 和 证 书 表 中 的 记录 ,并 更 新 证 书 表 中 的 证 书 有 效 日 期 。 
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(7) 密 钥 恢复 

按 如 下 步骤 实现 密 钥 (用 户 私 钥 ) 恢 复 。 

Q@ 用 户 通过 Web 页 面向 RA 服务 器 提交 密 钥 恢复 申请 ,需要 提供 个 人 相关 信息 和 
PIN 密码 。 

@ RA 管理 员 手 工 审核 用 户 真实 身份 ,确认 该 请 求 来 自用 户 本 人 。 

@ 身份 验证 通过 后 ,RA 服务 器 将 请 求 提交 给 CA 服务 器 。 

@ CA 服务 器 从 密 钥 表 中 获取 该 用 户 的 密 钥 ,通过 加 密 的 E-Mail 或 者 带 外 方式 提交 给 
用 户 ; 

此 外 ,系统 还 实现 证 书 撤销 .CRL 生成 与 发 布 等 功能 ,这 些 均 通 过 OpenSSL 和 
OpenLDAP 提供 的 API 实现 。 


4.9.2 大 型 PKI 系统 设计 案例 


采用 图 4. 17 所 示 的 体系 结构 。 为 了 适应 大 型 公共 安全 基础 设施 的 需要 ,系统 除了 具有 
CA .RA 和 终端 实体 外 ,设立 密 钥 管理 中 心 (KMC) ,负责 密 钥 的 生成 及 存储 管理 。 按 照 其 存 
储 密 钥 的 状态 , 密 钥 库 分 为 备用 库 在 用 库 和 历史 库 三 种 。 


备用 库 
在 用 库 


密 钥 历史 库 
管理 
中 心 


图 4.17 大 型 PKI 体系 结构 示意 图 


用 户 的 加 密 私 钥 托管 在 密 钥 管理 中 心 。 密 钥 管理 中 心 提供 对 生命 周期 内 加 密 证 书 密 钥 
的 全 程 管理 功能 ,包括 密 钥 生成 、 密 钥 存储 、 密 钥 分 发 、 密 钥 备 份 、 密 钥 更 新 、. 密 钥 撤销 、 密 钥 
归档 、 密 钥 恢 复 以 及 密 钥 安全 管理 等 。 用 户 密 钥 由 专门 的 密码 机 生成 ,并 采用 分 割 密 钥 存储 
方式 保存 于 多 个 密 钥 分 管 者 。 

密 钥 管理 中 心 不 直 接 面 向 用 户 ,而 是 通过 CA 与 用 户 建立 密 钥 托管 关系 。 密 钥 管 理 中 
心 与 CA 之 间 采 用 基于 身份 验证 的 安全 通信 协议 ,通信 双方 进行 双向 身份 认证 。 密 钥 管 理 
中 心 接收 来 自 CA 的 请 求 ,检查 并 确定 请 求 合 法 后 为 CA 提供 相应 的 密 钥 管理 服务 ,然后 将 
结果 返回 给 CA。 

CA 和 RA, 以 及 RA 和 终端 实体 之 间 的 通信 按照 PKIX 模型 中 的 PKI 体系 结构 设计 ， 
和 小 型 PKI 系统 具有 类 似 功能 。 由 于 这 种 大 型 PKI 系统 提供 公共 的 证 书 服务 ,很 多 用 户 通 
过 Internet 进行 证 书 和 密 钥 申请 ; 同时 , 密 钥 管理 中 心 可 能 服务 于 多 个 CA ,为 它们 提供 密 
钥 相 关 服 务 .因此 ,这 种 PKI 系统 对 密 钥 的 产生 ,托管 .存储 、 分 发 以 及 恢复 等 提出 更 高 的 安 
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全 性 要 求 。 
1. 密 钥 的 产生 


由 密 钥 管理 中 心 产生 系统 所 需 的 各 种 密 钥 ,包括 如 下 内 容 。 

中 根 密 钥 : 也 称 主 密 钥 ,是 系统 中 最 关键 的 密 钥 ,可 以 是 对 称 密 钥 ,也 可 以 是 非 对 称 密 钥 。 

@ 密 钥 保护 密 钥 : 用 来 保护 其 他 密 钥 的 密 钥 ,其 自身 会 受到 根 密 钥 的 保护 。 

@ 终端 密 钥 : 也 称 用 户 密 钥 ,属于 某 个 终端 设备 或 个 人 所 有 ,可 能 是 加 密 密 钥 或 签名 
密 钥 ,也 可 能 是 其 他 类 型 的 密 钥 。 

@ 会 话 密 钥 : 也 称 临时 密 钥 ,这 种 密 钥 仅 用 于 某 一 时 段 的 通信 保护 或 某 一 笔 交易 的 保 
护 , 生 存 周期 较 短 ,其 安全 性 要 求 相对 较 低 。 

系统 的 根 密 钥 以 及 用 户 的 终端 密 钥 由 硬件 密码 设备 生成 并 保存 在 密码 机 中 ,采用 密 钥 
分 割 技术 进行 存储 ,由 多 个 密 钥 分 管 者 分 别 存 放 部 分 密 钥 分 割 信息 。 


2. 密 钥 的 托管 与 存储 


(1) 托管 密 钥 的 安全 存储 

系统 根 密 钥 及 用 户 密 钥 由 密 钥 管理 中 心 采用 分 割 密 钥 存 储 技术 进行 密 钥 托管 ,以 保证 
密 钥 的 安全 性 。 将 受托 管 的 密 钥 分 成 份 后 分 别 交 给 个 托管 机 构 进行 托管 。 这 个 托管 
机 构 可 以 是 个 密 钥 管理 中 心 ,也 可 以 由 某 些 CA 和 密 钥 管理 中 心 组 成 。 

保存 被 托管 的 密 钥 时 , 选 定 的 密 钥 分 管 者 分 别 使 用 各 自 的 密码 保护 分 管 的 密 钥 ,分 管 的 
密 钥 存放 在 智能 卡 或 智能 密码 钥匙 中 。 智 能 卡 或 智能 密码 钥匙 进行 密 钥 备 份 ,并 安全 存放 。 

在 KMC 受托 管 的 终端 密 钥 (用 户 密 钥 ) 由 于 数量 庞大 ,影响 面 广 ,需要 特殊 的 方案 实现 
对 这 些 密 钥 的 保护 。 可 以 采用 类 似 数字 信封 的 多 层 密 钥 安全 存储 机 制 , 用 户 密 钥 或 密 钥 分 
量 采 用 密 钥 加 密 密 钥 进行 保护 ,然后 再 利用 系统 主 密 钥 进行 第 二 层 加 密 保护 。 

(2) 终端 密 钥 的 安全 存储 

保存 在 用 户 端 或 终端 设备 中 的 用 户 密 钥 , 其 存储 方式 相对 KMC 的 托管 密 钥 来 说 安全 
性 要 求 相 对 较 低 ,因为 单个 终端 密 钥 的 泄露 影响 面相 对 较 小 。 当 然 具 体 的 安全 要 求 还 要 看 
实际 的 应 用 环境 。 如 果 此 终端 密 钥 对 于 用 户 的 安全 系统 非常 重要 ,可 以 考虑 采用 针对 关键 
密 钥 的 存储 方案 。 

终端 密 钥 的 存储 技术 一 般 有 两 种 ,一 种 是 硬件 保护 , 另 一 种 是 密码 加 密 保 护 。 选 择 终端 
密 钥 的 硬件 载体 时 ,可 以 使 用 智能 卡 或 智能 密码 钥匙 一 类 的 密码 设备 。 这 类 密码 设备 的 管 
理 机 制 相 对 简单 ,一 般 通过 密码 来 验证 用 户 合法 身份 。 

考虑 到 系统 建设 成 本 ,也 可 以 采用 基于 密码 保护 的 加 密 方式 。 系 统 实 施 时 ,应 按照 
PKCS#8 规范 ,使 用 密码 密 钥 保护 RSA 私 钥 。 


3. KMC 与 CA 的 安全 通信 
密 钥 管理 中 心 进行 用 户 密 钥 的 分 发 时 必须 有 安全 可 靠 的 通信 协议 作为 支撑 。 因 此 ,为 
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KMC 设计 专门 的 安全 密 钥 分 发 协议 : KMC 在 收 到 来 自 CA 的 业务 请 求 后 ,首先 检查 请 求 
的 合法 性 与 正确 性 ,然后 根据 CA 的 请 求 内 容 进 行 相应 的 处 理 , 并 将 结果 返回 给 CA。KMC 
为 CA 提供 服务 的 完整 过 程 ,包括 请 求 . 响 应 .回执 以 及 异常 情况 的 处 理 等 。 

其 中 ,CA 的 服务 请 求 包 括 如 下 内 容 : 

。 协议 版 本 。 

。 服务 请 求 标识 符 。 

。 CA 证 书 标识 符 。 

。 扩展 的 请 求 信息 。 

。 请 求 信息 的 签名 。 

KMC 的 响应 包括 如 下 内 容 : 

。 协议 版 本 。 

。 响应 标识 符 。 

。 KMC 证 书 标识 符 。 

。 响应 信息 的 签名 。 

密 钥 管理 系统 在 运行 过 程 中 会 涉及 多 个 功能 模块 之 间 的 相互 调用 ,以 及 各 种 管理 员 的 
操作 ,对 这 些 调用 和 操作 需要 以 日 志 的 形式 进行 记录 ,以 用 于 系统 错误 分 析 、 风 险 分 析 和 安 
全 审计 等 工作 。 这 些 日 志 信 息 包括 调用 请 求 的 接收 时 间 、 请 求 者 的 网 络 地 址 、 身 份 . 请 求 的 
内 容 请求 处 理 过 程 和 处 理 结果 等 。 


4. 密 钥 恢复 


两 种 情况 下 需要 进行 密 钥 恢复 : 用 户 对 自己 私 钥 的 恢复 和 司法 取证 的 密 钥 恢复 。 用 户 
对 自己 私 钥 的 恢复 过 程 与 密 钥 的 下 载 过 程 类 似 , 只 需要 用 户 证 明 自 己 的 身份 , 即 可 分 别 从 不 
同 密 钥 托管 者 那里 获得 密 钥 分 量 , 经 过 计算 后 恢复 自己 的 私 钥 。 

司法 取证 的 密 钥 恢复 过 程 在 算法 实现 上 与 用 户 密 钥 下 载 过 程 相同 ,区 别 是 司法 取证 的 
密 钥 恢复 过 程 需要 通过 行政 管理 手段 保证 其 合法 性 和 安全 性 。 政 府 有 关 部 门 在 需要 进行 司 
法 密 钥 恢复 时 ,需要 同时 向 CA 和 KMC 提供 司法 部 门 的 书面 证 明文 件 ,CA 和 KMC 分 别 
在 超级 管理 员 授权 的 情况 下 签发 一 个 具有 一 定时 效 的 司法 密 钥 恢 复 卡 。 在 向 KMC 和 CA 
分 别 证 明 自 己 的 身份 后 可 以 获得 密 钥 分 量 再 恢复 相应 的 私 钥 数据 。 所 恢复 出 的 密 钥 必须 在 
使 用 结束 后 ,在 KMC 的 管理 员 的 监督 下 进行 销毁 ,以 防止 永久 监听 情况 的 发 生 。 


4.9.3 PKI 应 用 简介 
PKI 是 一 种 提供 非 对 称 密码 体制 中 密 钥 的 封装 ( 公 钥 封装 为 证 书 ) .分 发 和 管理 的 基础 


设施 ,因此 ,理论 上 讲 , 凡 是 使 用 非 对 称 密码 的 所 有 协议 和 应 用 都 可 以 使 用 PKI 技术 。 应 用 
PKI 可 提供 身份 认证 数据 机 密 性 服务 、 不 可 否认 性 服务 和 数据 完整 性 服务 等 ,但 PKI 本 身 
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并 不 提供 面向 终端 用 户 或 应 用 系统 的 加 密 或 签名 服务 ,这 些 服务 通过 基于 PKI 的 应 用 协议 
或 应 用 系统 实现 (如 图 4. 13 所 示 ) ,如 安全 Web 应 用 、 安 全 电子 邮件 ,安全 电子 商务 和 虚拟 
专用 网 等 

如 图 4.13 所 示 , 基 于 PKI 的 应 用 包括 两 类 ,一 类 是 使 用 PKI 的 安全 协议 ,如 IPSec、 
SSL/TLS 和 S/MIME 等 ,在 这 些 安全 协议 的 基础 上 构建 各 种 安全 应 用 系统 或 服务 ; 另 一 
类 是 直接 使 用 PKI 进行 加 密 或 签名 的 应 用 层 安全 服务 ,如 电子 签 章 、 数 字 信 封 和 单 点 登 
录 等 。 


1. SSL/TLS 与 安全 Web 应 用 


由 于 TCP/IP 协议 没有 提供 安全 能 力 ,HTTP 等 应 用 层 协议 提供 的 服务 在 不 安全 的 网 
络 上 完成 ,应 用 层 的 通信 过 程 可 能 被 窃听 、 簧 改 和 欺骗 。 这 些 安全 隐患 限制 了 早期 的 
Internet 只 能 用 于 传输 一 些 公 开 性 和 安全 性 要 求 不 高 的 信息 ,阻碍 了 Web 应 用 的 进一步 
发 展 。 

安全 套 接 字 (secure sockets layer,SSL) 协 议 是 位 于 网 络 传输 层 和 应 用 层 之 间 的 安全 通 
信和 层 协议 ,SSL 协议 中 的 两 个 实体 进行 通信 之 前 ,首先 要 建立 SSL 连接 ,进行 身份 认证 ,从 
而 防止 未 授权 访问 。 

SSL 最 初 由 Netscape 公司 开发 ,该 协议 向 基于 TCP/IP 的 客户 及 服务 器 应 用 程序 提供 
客户 端 和 服务 器 的 鉴别 .消息 机 密 性 及 完整 性 等 安全 服务 。Internet 工程 任务 组 IETF 以 
SSL 为 基础 制定 了 传输 层 安 全 (transport layer security,TLS) 协 议 标准 。TLS 与 SSL V3. 1 十 
分 类 似 , 两 者 基本 可 互相 兼容 。 

利用 PKI 技术 ,SSL 协议 允许 在 客户 机 和 服务 器 之 间 进 行 数据 交换 前 通过 交换 SSL 初 
始 握手 信息 来 实现 有 关 安 全 特性 的 审查 ,并 在 数据 交换 过 程 中 采用 DES、MD5 等 加 密 技术 
进行 加 密 通 信 , 以 保证 信息 的 机 密 性 和 完整 性 。 此 外 ,SSL 还 利用 数字 证 书 保证 通信 安全 ， 
通信 双方 通过 验证 对 方 的 数字 证 书 来 确认 对 方 的 身份 ,并 在 此 基础 上 提供 通信 内 容 的 机 密 
性 服务 。 

结合 SSL 协议 和 数字 证 书 ,PKI 技术 可 以 满足 Web 交易 的 安全 需求 ,因此 ,SSL/TLS 
已 被 广泛 应 用 于 基于 Web 的 安全 应 用 系统 中 ,如 网 上 银行 .网 上 购物 和 安全 电子 商务 等 。 
基于 SSL/TLS 的 WWW 协议 称 为 HTTPSCHTTP over SSL)。HTTPS 中 的 浏览 器 和 
Web 服务 器 之 间 需 要 交换 数字 证 书 , 进 行 身份 鉴别 ,从 而 防止 Web 应 用 的 通信 实体 被 
冒充 。 

SSL 协议 也 是 国际 上 最 早 应 用 于 电子 商务 的 一 种 网 络 安全 协议 ,至 今 仍然 有 许多 网 上 
商店 在 使 用 SSL 协议 。SSL 协议 在 点 对 点 的 网 上 银行 业务 中 也 经 常 使 用 。 在 电子 商务 交 
易 过 程 中 ,由 于 有 银行 参与 ,按照 SSL 协议 ,客户 的 购买 信息 首先 发 往 商家 ,商家 再 将 信息 
转发 给 银行 ,银行 验证 客户 信息 的 合法 性 后 ,通知 商家 付款 成 功 ,商家 再 通知 客户 购买 成 功 ， 
并 将 商品 寄 送 客户 。 
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2. 安全 电子 邮件 

电子 邮件 凭借 其 易 用 、 低 成 本 和 高 效 已 经 成 为 互联 网 时 代 的 一 种 标准 信息 交换 工具 。 
随 着 Internet 的 持续 增长 ,商业 机 构 或 政府 机 构 都 开始 用 电子 邮件 交换 一 些 秘密 的 或 是 有 
商业 价值 的 信息 ,这 就 引出 了 一 些 安全 方面 的 问题 ,包括 : 

。 消息 和 附件 可 以 在 不 为 通信 双方 所 知 的 情况 下 被 阅读 、 截 取 或 算 改 。 

。 发 信者 的 身份 可 能 被 人 伪造 。 

前 一 个 是 安全 问题 ,后 一 个 是 信任 问题 , 正 是 由 于 安全 和 信任 的 缺乏 ,尽管 电子 邮件 本 
身 具 有 众多 优点 ,仍然 使 得 许多 企业 、 机 构 不 使 用 电子 邮件 交换 关键 信息 。 

和 安全 Web 应 用 类 似 , 电 子 邮 件 的 安全 需求 也 包括 身份 认证 ,机 密 性 、 完 整 性 和 不 可 否 
认 性 ,这 些 均 可 利用 PKI 技术 获 取 。 具 体 地 说 ,利用 数字 证 书 和 私 钥 , 用 户 可 以 对 他 所 发 的 
邮件 进行 数字 签名 ,这 样 就 可 以 获得 认证 ,消息 完 整 性 和 不 可 否认 性 服务 ,如 果 证 书 是 由 其 
所 属 公司 或 某 一 可 信 第 三 方 颁发 的 , 收 到 邮件 的 人 就 可 以 信任 该 邮件 的 来 源 , 无 论 他 是 否认 
识 发 邮件 的 人 ; 另 一 方面 ,在 政策 和 法 律 允 许 的 情况 下 ,用 加 密 的 方法 就 可 以 保障 信息 的 机 
密 性 


PGP 加 密 已 经 在 电子 邮件 通信 中 得 到 了 一 定 范围 内 的 应 用 , 它 也 是 一 种 公 钥 加 密 体 
制 , 但 它 不 是 基于 PKI 的 ,没有 权威 机 构 进行 公 钥 认证 ,也 不 使 用 X. 509 证 书 。 因 此 PGP 
不 适合 在 提供 公共 服务 的 电子 邮件 服务 器 和 应 用 系统 中 使 用 ,使 用 PGP 的 双方 需要 自己 进 
行 安全 沟通 和 公 钥 交换 。 

安全 电子 邮件 协议 S/MIME(the secure multipurpose internet mail extension) 是 一 个 
允许 发 送 加 密 和 具有 签名 邮件 的 协议 。 该 协议 的 实现 需要 依赖 于 PKI 技术 。 基 于 PKI 的 
安全 电子 邮件 则 具有 普遍 意义 ,因为 PKI 的 用 户 群 可 以 是 开放 的 。 

S/MIME 支持 邮件 的 签名 和 加 密 。 基 于 MIME 和 PKI 标准 ,S/MIME 为 电子 消息 应 
用 程序 提供 认证 、 完 整 性 保护 及 数据 机 密 性 等 安全 服务 。 传 统 的 邮件 用 户 代理 可 以 使 用 S/ 
MIME 来 加 密 发 送 邮 件 及 解密 接收 邮件 。S/MIME 并 不 仅 限于 邮件 的 使 用 , 它 也 能 应 用 于 
任何 可 以 传送 MIME 数据 的 传输 机 制 , 例 如 HTTP。 同 样 ,S/MIME 利用 MIME 的 面向 
对 象 特征 允许 在 混合 传输 系统 中 交换 安全 消息 。 

S/MIME 最 初版 本 V1 来 源 于 私有 的 商业 社团 RSA 数据 安全 公司 。S/MIME V2 版 
本 已 经 广泛 地 使 用 在 安全 电子 邮件 上 ,但 是 它 并 不 是 IETF 的 标准 ,因为 它 需 要 使 用 RSA 
的 密 钥 交换 ,这 就 受 限 于 美国 RSA 数据 安全 公司 的 专利 。 目前 S/MIME 最 新 版 本 S/ 
MIME V3 已 成 为 IETF 标准 的 一 部 分 。 

同 PGP 一 样 ,S/MIME 也 利用 单 向 散 列 算法 和 公 钥 与 私 钥 的 加 密 体 系 。 但 它 的 认证 
机 制 依赖 于 层次 结构 的 证 书 认证 机 构 及 PKI, 并 且 使 用 数字 证 书 进行 身份 鉴别 ,因此 比 
PGP 具有 更 好 的 通用 性 ,并 能 满足 更 高 的 安全 性 需求 。S/MIME 将 信件 内 容 加 密 签名 后 作 
为 特殊 的 附件 传送 , 它 的 证 书 格式 采用 X. 509, 但 与 一 般 浏 览 器 网 上 使 用 的 SSL 证 书 有 一 


第 4 章 公 角 基础 设施 119 


定 差异 。 
国内 众多 的 认证 机 构 基 本 都 提供 “安全 电子 邮件 证 书 ” 的 服务 ,其 技术 对 应 的 就 是 
S/MIME 技术 ,平台 使 用 的 基本 上 是 美国 Versign 的 。 


3. IPSec 与 虚拟 专用 网 

虚拟 专用 网 (VPN) 是 一 种 架构 在 公用 通信 基础 设施 之 上 的 专用 数据 通信 和 网络 ,利用 
IPsec 等 网 络 层 安全 协议 和 基于 PKI 的 加 密 与 签名 技术 来 获得 通信 的 私有 性 。 同 租用 线路 
等 专用 网 络 相 比 ,VPN 既 节 省 开销 又 易于 安装 和 使 用 .适合 企业 架构 Intranet 和 进行 远程 
办 公 场 地 的 互联 。 

通常 ,企业 在 架构 VPN 时 都 会 利用 防火 墙 和 访问 控制 技术 来 提高 VPN 的 安全 性 ,这 
只 解决 了 很 少 一 部 分 问题 ,而 一 个 现代 VPN 所 需要 的 安全 保障 ,如 身份 认证 、 机 密 性 .完整 
性 和 不 可 否认 性 等 ,都 需要 采用 更 完善 的 安全 技术 来 实现 。 在 实现 上 ,VPN 的 基本 思想 是 
采用 秘密 通信 通道 ,用 加 密 的 方法 来 保障 通信 的 安全 性 和 私 用 性 。 

VPN 的 实现 协议 一 般 有 PPTP、L2TP 和 IPSec 三 种 。 其 中 , PPTP (point to point 
tunneling protocol) 是 点 对 点 的 协议 ,基于 拨号 使 用 的 PPP 协议 使 用 PAP 或 CHAP 之 类 的 
加 密 算 法 ,或 者 使 用 Microsoft 的 点 对 点 加 密 算法 MPPE。 而 L2TP (layer2 tunneling 
protocol) 是 L2FP(layer 2 forwarding protocol) 和 PPTP 的 结合 ,依赖 PPP 协议 建立 拨号 连 
接 , 加 密 的 方法 也 类 似 于 PPTP, 但 这 是 一 个 两 层 的 协议 ,可 以 支持 非 IP 协议 数据 包 的 传 
输 , 如 ATM 或 X.25, 因 此 也 可 以 说 L2TP 是 PPTP 在 实际 应 用 环境 中 的 推广 。PPTP 和 
L2TP 不 支持 PKI 技术 和 数字 证 书 , 缺 乏 数 字 证 书 的 VPN 对 身份 认证 、 完 整 性 和 不 可 否认 
性 的 支持 相对 较 差 。 因 此 ,这 两 种 VPN 方式 对 现代 安全 需求 的 支持 都 不 够 完善 ,应 用 范围 
也 不 够 广泛 。 

IPSec 协议 由 IETF 工作 组 开发 ,最 初 一 组 有 关 IPSec 的 标准 在 1995 年 制定 , 它 是 一 个 
应 用 广泛 、 开 放 的 Internet 标准 协议 ,目前 已 经 成 为 最 流行 的 VPN 解决 方案 。IPSec 包括 
AH 和 ESP。AH 验证 头 提 供 数据 源 身份 认证 .数据 完整 性 保护 、 重 放 攻 击 保护 功能 ; ESP 
安全 负载 封装 提供 数据 保密 、 数 据 源 身份 认证 ,数据 完整 性 、 重 放 攻 击 保 护 功 能 。IPSec 可 
以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 和 防火 墙 之 间 以 及 端 用 户 之 间 提 供 经 过 加 密 和 认 
证 的 通信 。 

IPSec 的 身份 验证 可 以 基于 PKI 技术 实现 ,采用 X. 509 证 书 提供 身份 鉴别 ,因此 可 提供 
比 PPTP 和 L2TP 更 广泛 的 安全 应 用 。 由 于 IPSec 是 IP 层 的 安全 协议 ,因此 很 容易 在 全 世 
界 范围 内 形成 一 种 规范 ,具有 和 良好 的 通用 性 ,并 且 能 够 很 好 地 支持 面向 未 来 的 协 
议 一 一 IPv6 。 

IPSec 还 是 一 个 发 展 中 的 协议 , 随 着 成 熟 的 PKI 技术 的 应 用 , 公 钥 密码 技术 越 来 越 多 地 
被 嵌入 到 IPSec 中 ,相信 在 未 来 几 年 内 ,该 协议 在 VPN 的 应 用 中 会 更 加 广泛 。 
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4. 其 他 应 用 层 安 全 服务 

(1) 数字 信封 

数字 信封 的 功能 类 似 于 普通 信封 。 普 通信 封 在 法 律 的 约束 下 保证 只 有 收 信人 才能 阅读 
信和 的 内 容 ; 数字 信封 则 采用 密码 技术 保证 了 只 有 规定 的 接收 人 才能 阅读 信息 的 内 容 。 

数字 信封 中 采用 了 单 钥 密码 体制 和 公 钥 密码 体制 。 信 息 发 送 者 首先 利用 随机 产生 的 对 
称 密码 加 密 信息 ,再 利用 接收 方 的 PKI 公 钥 证 书 加 密 对 称 密码 ,被 公 钥 加 密 后 的 对 称 密码 
称 为 数字 信封 。 在 传递 信息 时 ,信息 接收 方 要 解密 信息 时 ,必须 先 用 自己 的 私 钥 解密 数字 信 
封 , 得 到 对 称 密码 ,才能 利用 对 称 密码 解密 所 得 到 的 信息 。 这 样 就 保证 了 数据 传输 的 真实 性 

(2) 数字 印章 与 数字 水 印 

数字 印章 的 原理 和 数字 签名 相同 ,利用 签名 者 的 私 钥 对 数据 的 消息 摘要 进行 签名 ,接收 
者 利用 签名 者 的 PKI 公 钥 证 书 对 签名 进行 验证 。 数 字 印 章 是 对 数字 签名 的 图 形 化 ,首先 为 
应 用 系统 设计 一 个 签名 图 章 , 然 后 通过 程序 接口 舱 入 某 种 格式 的 文档 中 (如 PDF、WORD 
等 ) ,在 符 入 印章 的 同时 ,对 该 文档 进行 数字 签名 ,然后 将 公 钥 携带 在 文档 中 发 送 给 对 方 进行 
印章 或 签名 的 验证 。 

数字 水 印 是 一 种 信息 隐藏 技术 , 它 将 数字 信和 号 ,如 图 像 .文字 ,符号 .数字 等 一 切 可 以 作 
为 标记 、 标 识 的 信息 与 原始 数据 (如 图 像 .音频 和 视频 数据 ) 紧 密 结合 并 隐藏 其 中 ,并 可 以 经 
历 一 些 不 破坏 源 数据 价值 的 操作 而 能 保存 下 来 。 电 子 印 章 系统 采用 易 碎 水 印 来 保护 印章 图 
像 , 当 印章 图 像 被 更 改 后 ,即使 是 一 个 像素 ,都 会 破坏 水 印 本 身 , 从 而 达到 验证 保护 的 目的 。 

此 外 ,数字 水 印 还 可 被 广泛 应 用 于 信息 防伪 .版权 保 护 、 算 改 提 示 和 信息 隐蔽 等 多 个 

(3) 单 点 登录 

单 点 登录 (single sign-on,SSO) 是 一 种 方便 用 户 访问 多 个 系统 的 技术 ,用 户 只 需 在 登录 
时 进行 一 次 注册 ,就 可 以 访问 多 个 系统 ,不 必 重 复 输入 用 户 名 和 密码 来 确定 身份 。 单 点 登录 
的 实质 就 是 安全 上 下 文 (security context) 或 凭证 (credential) 在 多 个 应 用 系统 之 间 的 传递 或 
共享 。 当 用 户 登 录 系 统 时 ,客户 端 软件 根据 用 户 的 凭证 (例如 用 户 名 和 密码 ) 为 用 户 建立 一 
个 安全 上 下 文 , 安 全 上 下 文 包 含 用 于 验证 用 户 的 安全 信息 ,系统 用 这 个 安全 上 下 文 和 安全 策 
略 来 判断 用 户 是 否 具有 访问 系统 资源 的 权限 。 

CA 提供 了 统一 认证 的 功能 ,为 了 在 单 点 登录 中 实现 统一 的 认证 和 授权 的 功能 ,需要 引 
和 人 授权 管理 中 (privilege management Infrastructure,PMI) 。PMI 的 目标 是 向 用 户 和 应 用 
程序 提供 授权 管理 服务 ,提供 用 户 身份 到 应 用 授权 的 映射 功能 ,提供 与 实际 应 用 处 理 模式 相 
对 应 的 .与 具体 应 用 系统 开发 和 管理 无 关 的 授权 和 访问 控制 机 制 ,简化 具体 应 用 系统 的 开发 
与 维护 。PMI 是 属性 证 书 (attribute certificate)、 属 性 权威 (attribute authority) 和 属性 证 书 
库 等 部 件 的 集合 体 , 用 来 实现 权限 和 证 书 的 产生 ,管理 ,存储 ,分 发 和 撤销 等 功能 。SSO 和 
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PMI 需要 依靠 PKI 为 其 提供 身份 认证 服务 。 
本 章 实 验 


1. 利用 Windows 2000 Server 中 的 CA 进行 证 书 的 申请 和 颁发 ,并 将 签名 后 的 证 书 安 
装 在 浏览 器 中 ,作为 可 信和 的 证 书 。 
2. 在 Tomcat 中 生成 密 钥 并 生成 CA 签名 的 证 书 。 


思考 题 


1. 对 于 客户 端 来 说 ,什么 样 的 CA 是 可 信和 的 ? 

2. 常见 的 CA 的 信任 模型 有 哪 几 种 ? 它们 分 别 有 什 么 特点 ? 这 些 信 任 模型 的 实施 方 
法 是 怎样 的 ? 

3. 一 个 内 部 使 用 的 CA 系统 和 一 个 面向 公共 服务 的 PKI 系 统 在 设计 上 的 主要 区 别 是 
什么 ? 它们 分 别 着 重 考虑 哪些 安全 问题 ? 

4. 假设 客户 端 拿 到 一 个 服务 器 端的 证 书 , 为 了 验证 证 书 的 有 效 性 ,客户 端 应 该 分 别 检 
查证 书 的 哪些 信息 ? 客户 端 如 何 验证 证 书 上 颁发 者 签名 的 有 效 性 ? 


第 一 部 分 


TCP/IP 网 络 安全 协议 


村) 讲 


网 络 质 安全 协议 


5.1 IPSec 概述 


Internet 的 网 络 层 采 用 IP 协议 ,但 是 传统 IPv4 没有 提供 安全 服务 : 缺乏 对 通信 双方 身 
份 真实 性 的 鉴别 能 力 ,而且 没 有 提供 传输 数据 的 完整 性 和 机 密 性 保护 。 因 此 ,Internet 的 网 
络 层面 临 业 务 流 监听 、IP 地 址 欺骗 信息 汇 露 和 数据 项 算 改 等 多 种 安全 威胁 。 

IPSec(Internet protocol security) 即 Internet 安全 协议 ,是 Internet 工作 组 IETF 提出 
的 保护 IP 报 文安 全 通信 的 一 系列 规范 , 它 提供 私有 信息 通过 公用 网 的 安全 保障 。IPSec 是 
一 簇 协议 ,用 于 在 IP 层 提供 机 密 性 ,数据 源 鉴 别 和 完整 性 保护 。IPSec 本 身 并 不 规定 协议 
使 用 的 加 密 、 鉴 别 和 完整 性 保护 算法 ,也 不 限制 用 户 使 用 以 上 提供 的 哪 一 种 或 几 种 服务 ,这 
些 依赖 具体 IPSec 的 协议 实现 以 及 用 户 对 安全 服务 及 其 参数 进行 协商 的 结果 ,因此 ,可 以 认 
为 IPSec 是 一 个 协议 框架 。 

由 于 IPSec 在 TCP/IP 协议 的 核心 层 一 一 IP 层 实现 ,因此 可 以 有 效 地 保护 各 种 上 层 协 
议 , 并 为 各 种 安全 服务 提供 一 个 统一 的 平台 。IPSec 是 目前 虚拟 专用 网 中 使 用 最 广泛 的 一 
种 协议 ,也 是 下 一 代 Internet 所 采用 的 网 络 安全 协议 。IPSec 是 随 着 IPv6 的 制定 而 产生 的 ， 
它 在 IPv6 中 是 必须 支持 的 协议 。 鉴 于 IPv4 的 应 用 仍然 很 广泛 ,所 以 在 IPSec 的 制定 中 也 
增加 了 对 IPv4 的 支持 。 

使 用 IPSec 时 ,用 户 可 以 有 选择 地 使 用 其 中 的 一 项 或 多 项 功能 ,从 而 得 到 期 望 的 安全 服 
务 。IPSec 可 保障 主机 之 间 、 网 络 安全 网 关 ( 如 路 由 器 或 防火 墙 ) 之 间或 主机 与 安全 网 关 之 
间 IP 报 文 的 安全 。 使 用 IPSec 后 ,用 户 的 原始 IP 报 文 进行 加 密 或 完整 性 保护 等 处 理 后 , 生 
成 新 的 IP 报 文 在 网 络 上 传输 。 
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5.2 IPSec 体系 结构 


如 图 5. 1 所 示 ,IPSec 协议 框架 主要 包括 验证 头 (AH)、 封 装 安全 载荷 (encapsulating 
security payload, ESP) 、 密 钥 管理 .安全 策略 等 。 其 中 ,AH 和 ESP 是 IPSec 的 安全 通信 子 
协议 ,安全 通信 使 用 的 密 钥 可 以 通过 密 钥 交换 协议 得 到 。 


1. 验证 头 协议 和 
AH 提供 无 连接 的 完整 性 ,数据 源 认证 和 抗 。「 厂 [车 天安 全 软 信 站 证 关 
重 放 保 护 服务 ,但 AH 不 提供 消息 的 机 密 性 服 
务 。AH 的 主要 作用 是 为 IP 报 文 提 供 密 码 认 加 密 算法 验证 算法 
证 ,以 确保 数据 完整 .来 源 可 靠 ,并 且 没有 被 重 
放 。 其 中 ,数据 完整 性 保护 通过 HMAC 实现 ， 解释 域 
抗 重 放 攻 击 通 过 AH 报 文 的 序列 号 实现 。 数 据 密 钥 管理 
完整 性 算法 ,数据 源 认证 算法 取决 于 IPSec 协议 t 
的 具体 实现 ,并 且 可 以 由 通信 双方 协商 后 确定 。 “安全 策略 


图 5.1 IPSec 框架 的 体系 结构 

2. 封装 安全 载荷 协议 

ESP 为 IP 提供 机 密 性 ,数据 源 验 证 、 抗 重 放 保护 以 及 数据 完整 性 保护 等 安全 服务 。 其 
中 ,数据 机 密 性 是 ESP 的 基本 功能 ,而 数据 源 身份 认证 、 数 据 完整 性 检验 以 及 抗 重 放 保 护 等 
功能 是 可 选 的 ,这 由 通信 双方 协商 决定 。 因 此 ,ESP 可 以 同时 使 用 加 密 算法 和 验证 算法 ,也 
可 以 单独 使 用 加 密 算 法 或 验证 算法 。ESP 使 用 对 称 加 密 算法 提供 机 密 性 服务 ,使 用 的 密码 
算法 取决 于 IPSec 的 实现 ,并 且 可 以 由 通信 双方 协商 后 确定 。 

ESP 可 以 和 AH 联合 使 用 ,也 可 以 单独 使 用 。 


3. 安全 策略 


IPSec 允许 用 户 控制 安全 服务 的 粒度 ,这 通过 安全 策略 (security policy,SP) 实 现 。 简 言 
之 ,IPSec 安全 策略 规定 了 一 个 通信 实体 使 用 IPSec 进行 安全 通信 中 的 目标 网 络 或 地 址 、 使 
用 的 安全 参数 等 一 系列 要 素 。 安 全 策略 保存 在 通信 实体 的 本 地 安全 策略 数据 库 (security 
policy database,SPD) 中 。 

例如 ,一 个 组 织 的 安全 策略 可 能 规定 来 自 特定 子 网 的 数据 流 使 用 AH 和 ESP 保护 ,并 
且 使 用 DES( 数 据 加 密 标 准 ) 算 法 加 密 IP 报 文 .使 用 MD5 算法 验证 数据 的 完整 性 。 另 一 方 
面 , 安 全 策略 可 能 规定 来 自 另 一 个 站 点 的 数据 流 只 使 用 ESP 进行 机 密 性 保护 ,并且 使 用 高 
级 加 密 标 准 (advanced encryption standard, AES) 进 行 加 密 。 
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4. 安全 协定 (security association .SA) 


SA 是 保证 IPSec 通信 双方 协调 工作 的 基础 ,是 两 个 使 用 IPSec 进行 安全 通信 的 通信 实 
体 经 协商 建立 的 一 种 协定 , 它 决定 了 用 来 保护 IP 报 文安 全 的 一 系列 要 素 , 如 使 用 的 安全 通 
信 协 议 (AH 或 ESP 协议 ) 、 转 码 方式 、 密 钥 \ 密 钥 算 法 及 密 钥 的 有 效 时 间 等 。SA 中 的 这 些 
要 素 由 通信 双方 协商 产生 ,并 保存 在 安全 协定 数据 库 (security association database, SAD) 
中 。SA 可 以 手工 创建 ,也 可 以 动态 生成 ,动态 建立 SA 使 用 密 钥 管理 协议 实现 。 

安全 策略 包括 一 个 指向 安全 协定 的 指针 。 因 此 ,可 以 认为 安全 协定 是 和 安全 策略 相关 
联 的 一 部 分 。 安 全 策略 和 安全 协定 的 内 容 均 由 通信 实体 协商 确定 ,并 保存 在 各 自 的 数据 库 
中 (SPD 和 SAD) ,进行 安全 通信 (使 用 AH.、ESP) 时 ,IPSec 根据 SPD 和 SAD 中 对 应 的 参数 
值 完成 鉴别 和 加 密 过 程 。 


5, 密 钥 管理 


IPSec 在 数据 包 验 证 和 加 密 过 程 中 需要 使 用 各 种 密 钥 ,这 些 密 钥 可 以 由 密 钥 管 理 组 件 
进行 分 发 和 管理 ,通过 密 钥 管理 协议 来 实现 。 密 钥 管 理 协 议 进 行 密 钥 协商 的 结果 (例如 密 钥 
及 其 长 度 等 ) 被 保存 在 SA 中 。Internet 密 钥 交换 协议 (internet key exchange,IKE) 是 
IPSec 默认 的 安全 密 钥 协商 方法 。IKE 通过 一 系列 报 文 交 换 , 为 两 个 实体 (如 网 络 终端 或 网 
关 ) 进 行 安全 通信 生成 会 话 密 钥 。IKE 建立 在 Internet 安全 协定 和 密 钥 管 理 协议 (internet 
security association and key management protocol, ISAKMP) 定 义 的 一 个 框架 之 上 ,是 
IPSec 目前 正式 确定 的 密 钥 交换 协议 。IKE 为 IPSec 的 AH 和 ESP 协议 提供 密 钥 交换 管理 
和 安全 协定 管理 ,同时 也 为 ISAKMP 提供 密 钥 管理 和 安全 管理 。IKE 具有 两 种 密 钥 管理 协 
议 , 即 Oakley 和 安全 密 钥 交换 机 制 (secure key exchange mechanism, SKEME) 的 一 部 分 功 
能 ,并 综合 了 Oakley 和 SKEME 的 密 钥 交换 方案 ,形成 了 独 有 的 加 密 密 钥 生成 方法 。 


6. 解释 域 (domain of interpret, DOD 
给 出 各 个 组 件 彼此 相关 部 分 的 标识 符 及 操作 参数 。 


5.3 ”Ipsec 的 操作 模式 


IPSec 有 两 种 操作 模式 (operation mode) , 即 隧道 模式 和 传输 模式 。IPSec 隧道 模式 的 
侍 点 是 数据 包 目 的 地 不 是 IPSec 的 安全 终点 。 通 常情 况 下 ,只 要 IPSec 通信 双方 有 一 方 是 
安全 网 关 或 路 由 器 ,就 必须 使 用 隧道 模式 。 传 输 模 式 下 .IP 报 文 的 源 和 目标 地 址 是 IPSec 
的 安全 终点 。 通 常情 况 下 ,传输 模式 用 于 两 台 主 机 之 间 的 端 到 端 安全 通信 。 

两 种 操作 模式 的 示意 图 分 别 如 图 5. 2 和 图 5. 3 所 示 。 
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源 主机 S 。 ”网 关 GW1 


IP 报 头 | 了 P 净 载荷 
原始 I 数据 包 


IP 报 头 | IP 净 载荷 
原始 IP 数 据 包 IP 报 头 |IPSec 报 头 | IP 净 载荷 


经 过 IPSec 封 装 后 的 数据 包 
IP 报 头 |IPSec 报 头 | IP 净 载荷 


经 过 IPSec 封 装 后 的 数据 包 1 
人 
网 关 GW2 


目标 主机 D 


图 5.2 IPSec 传输 模式 
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导 约 数据 包 [处 部 IP 报头]IPsec 报 头 IP 报 头 | IP 净 载荷 ] 
经 过 IPSec 封 装 后 的 数据 包 
外 部 IP 报 头 ]IPSec 报 头 | IP 报 头 | IP 净 载 荷 | 
经 过 IPSec 封装 后 的 数据 包 
| pe 
网 关 GW2 ; 
目标 主机 D 


图 5.3 IPSec 隧道 模式 


传输 模式 中 ,IPSec 对 等 实体 位 于 两 台 主 机 上 : 一 台 主 机 向 另 一 台 主 机 发 送 IP 报 文 ,两 
台 主 机 上 均 启 动 IPSec 协议 ,并 按照 事先 协商 的 安全 策略 和 安全 协定 对 IP 报 文 进行 安全 通 
信保 护 。 在 源 主 机 上 ,IPSec 安全 通信 协议 AH 和 /或 ESP 的 头 部 被 插入 到 原 IP 报 文 的 头 
部 和 其 净 载 荷 ( 上 层 协 议 ) 之 间 ,该 数据 包 到 达 目 标 主机 后 .目标 主机 的 IPSec 协议 栈 进行 
相应 的 安全 操作 (如 进行 数据 源 鉴 别 . 完 整 性 验证 和 解密 等 ) 后 ,将 数据 包 交 由 上 层 协议 
处 理 。 

隧道 模式 中 ,IPSec 对 等 实体 位 于 两 个 安全 网 关 之 间 (或 位 于 主机 与 安全 网 关 之 间 ): 一 
台 主 机 向 另 一 台 主 机 发 送 一 个 明文 IP 报 文 .通信 目标 端 不 是 IPSec 的 协议 终点 (目标 主机 
不 启动 IPSec) ,该 数据 包 到 达 本 地 网 关 后 .由 本 地 网 关 和 目标 地 址 的 网 关 之 间 建 立 IPSec 隧 
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道 。 本 地 网 关 的 IPSec 协议 栈 对 该 IP 报 文 进行 重新 封装 ,原始 IP 报 文 经 过 AH 和 /或 ESP 
封装 保护 后 ,IPSec 产生 一 个 新 的 IP 报头 ,报头 的 源 地 址 为 本 地 网 关 , 目 标 地 址 为 远程 的 对 
端 网 关 ( 目 标 主 机 所 在 网 关 ) 。 该 数据 包 到 达 目 标 地 址 的 网 关 后 ,由 远程 网 关 进 行 IPSec 安 
全 检查 后 ,将 数据 包 还 原 为 原始 明文 IP 报 文 ,并 转发 给 目标 主机 。 图 5. 3 中 的 隧道 在 两 个 
安全 网 关 之 间 产生 ,也 可 以 在 主机 和 目标 网 络 的 网 关 之 间 产生 ,此 时 数据 包 的 封装 及 处 理 方 
式 相同 。 

如 图 5.4 所 示 ,在 实际 部 署 时 ,IPSec 隧道 模式 和 传输 模式 可 以 共同 存在 ,网 络 上 的 主 
机 和 网 络 设备 根据 需要 配置 为 不 同 的 工作 模式 ,两 种 模式 也 可 以 府 套 使 用 ,共同 对 网 络 上 的 
IP 通信 进行 保护 。 


传输 模式 
端 到 端 认 证 


传输 模式 
端 到 端 认 证 


路 由 器 ”隧道 模式 
端 到 中 间 认 证 


图 5.4 两 种 模式 在 网 络 中 的 部 署 


5.4 安全 策略 与 安全 协议 


对 于 IPSec 数据 流 处 理 而 言 , 有 两 个 必要 的 数据 库 : 安全 策略 数据 库 (SPD) 和 安全 协定 
数据 库 C(SAD)。SPD 指定 了 用 于 到 达 或 者 源 自 特定 主机 或 网 络 的 数据 流 的 策略 。SAD 则 
包含 安全 通信 协议 需要 的 各 种 参数 。 


1. 安全 策略 和 安全 策略 数据 库 

如 图 5. 5 所 示 ,IPSec 安全 策略 包括 需要 保护 的 通信 双方 的 一 系列 参数 。IPSec 协议 要 
求 在 所 有 通信 流 处 理 的 过 程 中 都 必须 查询 SPD。SPD 中 包含 一 个 策略 条 目的 有 序列 表 , 通 
过 使 用 一 个 或 者 多 个 选择 符 ( 如 图 5. 5 中 所 示 的 目的 地 址 、 源 地 址 、 传 输 层 协 议 、 系 统 名 和 上 
层 协议 等 ) 来 确定 每 个 条 目 ,这 些 选 择 符 是 从 网 络 层 和 传输 层 的 数据 包头 里 提取 出 来 的 。 
SPD 中 的 SA 指针 用 来 确定 该 策略 对 应 的 安全 协定 。 当 有 数据 包 外 出 时 ,根据 这 些 选择 符 
对 SPD 进行 索引 ,从 而 决定 采用 何 种 安全 策略 和 安全 协定 。 
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目的 IP 地 址 
C > 源 IP 地 址 
Ey 传输 层 协议 

本 | 应 用 的 IPSec 协议 


用 户 ID 运用 的 密码 算法 
F 层 端口 生成 完整 性 校 验 值 
标志 ICV( 验 证 码 ) 的 算法 


SA 指针 


图 5.5 IPSec 安全 策略 SP 


IPSec 当前 允许 的 选择 符 包 括 如 下 几 个 部 分 。 

。 源 IP 地 址 。 源 IP 地址 可 以 是 一 个 32 位 的 IPv4 地 址 ,也 可 以 是 一 个 128 位 的 IPv6 
地 址 。 该 地 址 可 以 是 通配符 ,地址 范围 .网 络 前 级 或 是 指定 主机 的 地 址 。 对 源 自 一 
个 主机 的 所 有 IP 报 文 来 说 ,假如 为 它们 采取 的 安全 通信 策略 相同 , 则 使 用 通配符 作 
为 源 地 址 。 网 络 前 级 和 地 址 范围 用 于 安全 网 关 , 以 便 为 隐藏 在 它 后 面 的 主机 提供 安 
全 保护 ,以 及 用 来 构建 VPN。 在 一 个 主机 安全 要 求 已 经 明确 的 前 提 下 ,要 么 在 一 个 
多 宿主 (多 穴 ) 主 机 上 使 用 一 个 特定 的 地 址 ,要 么 在 网 关上 使 用 。 源 IP 地 址 从 AH、 
ESP 或 者 IP 报头 的 源 IP 地 址 域 中 得 到 。 

。 目 的 IP 地 址 。 目标 IP 地 址 也 可 以 是 一 个 32 位 的 IPv4 地 址 ,或 128 位 的 IPv6 地 
址 。 同 样 ,该 地 址 也 可 以 是 通配符 、 地 址 范围 .网 络 前 级 或 指定 主机 。 前 三 个 都 用 于 
隐藏 在 安全 网 关 后 的 主机 。 目 的 IP 地 址 从 AH、ESP 或 者 IP 头 ( 若 没有 对 数据 包 
应 用 IPSec 的 话 ) 的 目的 IP 地 址 域 中 得 到 。 对 于 经 过 隧道 处 理 的 IP 报 文 ,用 作 选 择 
符 的 目标 地 址 字段 有 别 于 用 于 查找 SA 的 目标 地 址 。 在 这 种 情况 下 ,只 要 数据 包 以 
隧道 方式 传输 ,外 部 IP 报头 的 目的 IP 地址 便 可 与 内 部 IP 报头 的 不 一 样 。 但 是 , 目 
的 网 关中 的 策略 是 根据 真正 的 目标 地 址 设 定 的 ,而 且 最 终 要 使 用 这 一 地 址 对 SPD 
数据 库 进 行 索引 。 

。 系统 名 。 系 统 名 字段 用 于 标识 与 一 名 有 效用 户 或 者 系统 名 称 关 联 的 策略 。 它 可 以 
是 一 个 DNS 名 、X. 500 名 或 者 在 IPSec 中 定义 的 其 他 名 字 类 型 。 只 有 在 IKE 协商 
期 间 ( 而 非 包 处 理 期 间 ) ,名 字 字 段 才能 作为 一 个 选择 符 使 用 。 在 包 处 理 期 间 , 这 一 
字段 不 能 作为 选择 符 使 用 。 这 是 由 于 目前 无 法 把 一 个 IP 地 址 和 一 个 名 字 结 合 在 
一 起 。 

。 协议 。 协 议 字 段 指定 了 传输 层 协议 ,该 字段 的 值 可 以 从 IPv4 或 IPv6 报头 的 “下 一 
个 头 ” 域 中 得 到 。 许 多 情况 下 ,只 要 使 用 了 ESP, 传 输 层 数据 便 无 法 被 访问 ,因为 它 
作为 IP 有 效 载荷 被 加 密 了 。 这 种 情形 下 ,需要 使 用 通配符 。 

。 上 层 端 口 。 在 进行 面向 会 话 的 密 钥 交换 时 ,上 层 端口 代表 源 和 目标 端口 ,真正 应 用 
协议 的 便 是 这 些 端口 。 如 果 端 口 不 能 访问 , 便 需 要 使 用 通配符 。SPD 中 的 每 一 个 条 


2. 
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目 都 包含 一 个 或 者 多 个 选择 符 和 一 个 标志 ,该 标志 用 于 表明 与 条 目 中 的 选择 符 匹配 
的 数据 包 是 否 应 该 丢弃 、 进 行 IPSec 处 理 或 者 绕 过 IPSec 处 理 。 如 果 应 该 对 数据 包 
进行 IPSec 处 理 , 则 条 目 中 必须 包含 一 个 指向 SA 内 容 的 指针 ,其 中 详细 说 明了 应 用 
于 匹配 该 策略 条 目的 数据 包 的 IPSec 安全 子 协议 (AH 或 ESP) ,操作 模式 (隧道 或 
传输 模式 ) 和 加 密 验 证 算法 等 。 选 择 符 与 数据 通信 流 相 匹配 的 第 一 个 条 目 将 被 应 用 
到 该 通信 中 。 如 果 没 有 发 现 匹 配 的 条 目 ,通信 数据 包 将 被 丢弃 。 


安全 协议 和 安全 协定 数据 库 


SAD 中 包含 现行 的 SA 条 目 , 每 个 SA 又 包含 一 个 安全 参数 索引 (security parameters 
index, SPDD ,一 个 源 或 目的 IP 地 址 和 一 个 IPSec 安全 通信 协议 (AH/ESP) 的 三 元 组 索引 ， 
即 二 SPI,dst/src,protocol 二 。 该 索引 唯一 标识 一 个 SA ,并且 作 为 AH 和 ESP 协议 报 文 头 
部 的 一 个 字段 存在 。 此 外 ,一 个 SAD 条 目 还 包含 下 面 的 域 : 


序列 号 (sequence number)。 序 列 号 是 一 个 32 位 的 整数 ,用 于 生成 AH 或 ESP 协议 
报头 中 的 序列 号 域 , 在 数据 包 * 外 出 ?处 理 期 间 使 用 。 它 同时 属于 AH 及 ESP 报头 
的 一 部 分 。 每 次 用 SA 来 保护 一 个 数据 包 , 序 列 号 的 值 便 会 递增 1。 通信 的 目标 主 
机 利用 这 个 字段 来 检测 “ 重 放 ” 攻 击 。SA 刚刚 建立 时 ,该 字段 的 值 设 为 0。 通常, 在 
这 个 字段 的 值 溢出 之 前 ,SA 会 重新 进行 协商 。 

序列 号 溢出 。 这 是 一 个 标志 ,用 于 外 出 包 处 理 . 表 示 是 否 对 序列 号 计数 器 的 溢出 进 
行 审核 ; 对 于 特定 的 SA ,是否 阻塞 额外 通信 流 的 传输 。 

抗 重 放 窗口 。 该 字段 在 数据 包 的 “进入 ”处 理 期 间 使 用 。 它 使 用 一 个 32 位 计数 器 和 
位 图 确定 一 个 输入 的 AH 或 者 ESP 报 文 是 否 是 一 个 重 放 包 。 

AH 认证 密码 算法 和 所 需要 的 密 钥 。 指 定 AH 安全 子 协议 中 密码 算法 、 密 钥 等 重要 
安全 参数 。 

ESP 认证 密码 算法 和 所 需要 的 密 钥 。 指 定 ESP 安全 子 协 议 中 密码 算法 、 密 钥 等 重 
要 安全 参数 。 

ESP 加 密 算 法 , 密 钥 ,初始 化 向 量 (initialization vector,IV) 和 IV 模式 。 其 中 ,初始 
化 向 量 IV 是 一 个 随机 数 , 每 次 加 密 时 随机 产生 。IV 以 某 种 形式 与 原 密 钥 相 组 合 ， 
作为 该 次 加 密 的 加 密 密 钥 ,用 来 解决 密 钥 重用 的 问题 。 

IPSec 操作 模式 。IPSec 协议 可 同时 用 于 隧道 模式 及 传输 模式 。 依 据 这 个 字段 的 
值 ,载荷 的 处 理 方式 也 会 有 所 区 别 。 可 将 该 字段 设 为 隧道 模式 、 传 输 模式 或 者 一 个 
通配符 。 若 将 这 个 字段 设 为 通配符 , 则 该 SA 既 可 用 于 隧道 模式 , 亦 可 用 于 传送 
模式 。 

SA 生存 期 。 它 规定 了 每 个 SA 最 长 能 够 存在 的 时 间 ,外 加 一 个 当 该 SA 过 期 时 是 被 
替代 还 是 终止 的 标识 。 超 出 这 个 时 间 , 该 SA 便 不 可 继续 使 用 ,或 者 被 新 的 SA 蔡 
代 , 或 者 被 终止 。 生 存 期 参数 有 两 种 形式 : 可 表达 成 受 该 SA 保护 的 字 节 数量 ,也 可 
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表达 成 SA 的 持续 时 间 ,也 可 以 同时 用 这 两 种 方式 来 表达 一 个 生存 期 ,以 先 过 期 为 
准 。 为 避免 在 SA 过 期 后 造成 通信 的 停顿 ,可 采用 两 种 类 型 的 SA 生存 期 软 限制 和 
硬 限制 。 所 谓 “ 软 限制 ”, 是 指 用 它 来 警告 内 核 ,通知 它 SA 很 快 就 要 到 期 了 ,通信 的 
对 等 实体 必须 重新 协商 一 个 新 的 SA 来 代替 已 有 的 SA。 这 样 一 来 ,在 “ 硬 限制 ”到 
期 之 前 ,内 核 便 能 及 时 地 协商 好 一 个 新 的 SA。 

。 隧道 目的 地 。 对 于 隧道 模式 中 的 IPSec 来 说 , 需 用 该 字段 指出 隧道 的 目的 地 , 即 外 
部 IP 报头 中 的 目标 地 址 。 

。 路 径 最 大 传输 单元 参数 。 路 径 最 大 传输 单元 参数 (path maximum transfer unit， 
PMTU) 是 IP 报 文 经 过 一 个 特定 的 ,从 源 主机 到 目标 主机 的 网 络 而 无 须 分 段 的 IP 
报 文 的 最 大 长 度 。 在 隧道 模式 下 使 用 IPSec 时 ,必须 维持 正确 的 PMTU 信息 ,以 便 
a Ra 


图 5.6 给 出 了 一 个 外 出 的 IP 报 文 查询 安全 策略 和 安全 协定 的 过 程 。 首 先 在 主机 上 
手工 指定 IPSec 通信 的 安全 策略 ,例如 对 菜 个 目标 地 址 的 IP 报 文 使 用 ESP 进行 加 密 , 但 
不 使 用 AH 鉴别 协议 。 该 安全 策略 对 应 的 安全 协定 (如 密 钥 及 其 参数 ) 可 以 手工 指定 ,也 可 


以 由 
SAD 


IKE 协商 产生 。 如 图 5. 6 所 示 , 当 一 个 SA 协商 完成 后 ,这 些 参数 被 存放 在 SPD 和 
中 。 


4. 生成 [PSec 报 文 ( 将 


Spl 揪 入 到 报头 中 ) 
EE 


~ 


[1. 查询 安全 策略 ，1 3. 由 安全 协定 确定 
1 确定 安全 参数 以 及 | 安全 通信 协议 、 密 
(对 应 的 安全 协定 _ 上 、 钥 参数 以 及 SPI 


12. 12. 查询 对 应 1 
| 的 安全 协定 1 


图 5.6 IPSec 输出 数据 包 处 理 


数据 包 外 出 时 ,IPSec 协议 栈 根据 数据 包头 部 的 目标 地 址 .端口 确定 该 数据 包 对 应 


SP, 间 


通过 与 其 关联 的 SA 指针 找到 对 应 的 SA ,然后 将 SPI 插 和 到 ESP 或 AH 


中 。 最 后 ,按照 相应 的 工作 模式 (隧道 模式 或 传输 模式 ) 进 行 ESP 安装 ,并 将 数据 包 发 往 目 
标 地 址 。 
对 于 进入 的 数据 包 ,IPSec 协议 栈 根据 二 SPI, dst/src,protocol 二 三 元 组 确定 该 ESP 对 


应 的 


SA, 从 中 获取 各 种 参数 后 ,进行 相应 的 验证 和 解密 工作 。 
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5.5” 密 钥 交 换 协 议 


Internet 密 钥 交换 协议 IKE 是 一 个 以 受 保护 方式 为 SA 协商 并 提供 经 过 认证 的 密 钥 管 
理 协议 。 使 用 IPSec 保护 IP 报 文 之 前 ,必须 先 建立 一 个 安全 协定 SA。 如 前 所 述 ,SA 可 以 
手工 创建 或 动态 建立 ,IKE 协议 用 于 动态 建立 SA。IKE 代表 IPSec 对 SA 进行 协商 ,并 对 
安全 协定 数据 库 SAD 进行 填充 。IKE 实际 上 是 一 种 混合 型 协议 。 它 建立 在 由 Internet 安 
全 协定 和 密 钥 管理 协议 ISAKMP 定义 的 一 个 框架 上 。 同 时 ,IKE 还 实现 了 两 种 密 钥 管理 协 
议 的 一 部 分 : Oakley 和 SKEME。IKE 是 建立 在 ISAKMP 基础 上 的 ,但 两 者 是 不 同 的 ， 
ISAKMP 提供 了 一 个 可 以 由 任意 密 钥 交换 协议 使 用 的 通用 密 钥 交换 框架 ,而 IKE 则 定义 了 
一 个 实际 可 用 的 具体 的 密 钥 交 换 协议 。 


5.5.1 ISAKMP 


Internet 安全 协定 密 钥 管理 协议 ISAKMP 定义 协商 .建立 .修改 和 删除 SA 的 过 程 和 对 
应 的 消息 格式 。ISAKMP 被 设计 为 与 密 钥 交换 协议 无 关 的 协议 , 即 不 受 限 于 任何 具体 的 密 
钥 交换 协议 、 密 码 算法 、 密 钥 生 成 技术 或 认证 机 制 。 同 时 ,ISAKMP 是 作为 一 个 通用 的 协商 
协议 定义 的 ,而 不 是 仅 对 IKE IPSec 或 IP。 

通信 双方 通过 ISAKMP 向 对 方 提供 自己 支持 的 安全 功能 从 而 协商 共同 的 安全 属 
性 。ISAKMP 消息 可 以 通过 TCP 和 UDP 传输 ,默认 端口 为 500。ISAKMP 包括 两 阶段 
协商 。 

。 阶段 1: ISAKMP 通信 双方 建立 一 个 ISAKMP SA, 它 用 于 保护 双方 后 面 的 安全 协 

定 的 协商 过 程 。 

。 阶段 2: 使 用 ISAKMP SA 为 IPSec 安全 通信 子 协议 (AH 和 ESP) 建 立 安全 协定 。 

ISAKMP 提供 了 详细 的 协议 描述 和 消息 格式 。ISAKMP 消息 使 用 一 系列 不 同 的 载荷 
建立 ,这 些 载 荷 可 能 在 不 同 的 组 合 中 出 现 。 每 种 载荷 控制 了 一 个 在 密 钥 协商 中 的 特定 数据 
类 型 ,并 且 包 含 一 个 指向 数据 包 中 下 一 个 载荷 的 指针 。 通 过 一 系列 这 种 载荷 的 排列 ， 
ISAKMP 包 能 够 包含 一 个 特定 IKE 消息 的 所 有 数据 。 


1. ISAKMP 消息 格式 

如 图 5.7 所 示 ,ISAKMP 消息 由 一 个 定 长 的 报头 和 不 定 长 的 载荷 组 成 。 定 长 的 报头 简 
化 了 协议 分 析 过 程 , 它 包 括 协议 所 需 的 各 种 信息 来 维持 状态 、 处 理 载荷 ,并 用 来 提供 不 可 否 
认 性 服务 和 防御 重 放 攻击 。 
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py 


发 起 者 cookie 
响应 者 cookie 
下 一 个 载荷 主 版 本 次 版 本 交换 类 型 标志 
消息 ID 
长 度 
图 5.7 ISAKMP 报头 格式 


发 起 者 cookie(initiator cookie): 32 位 ,可 以 帮助 通信 双方 确定 信息 是 否 来 自 对 方 。 
一 个 cookie 对 应 于 一 个 SA 建立 请 求 .SA 通告 或 SA 删除 。 
响应 者 cookie(responder cookie): 32 位 ,与 发 起 者 cookie 类 似 , 响 应 者 cookie 用 于 
应 答 一 个 SA 建立 请 求 .SA 通告 或 SA 删除 。 
下 一 个 载荷 Cnext 0 这 个 8 位 域 说 明 消息 中 的 第 一 个 载荷 。 
主 版 本 (main version) : 这 个 4 位 域 指定 所 用 ISAKMP 协议 的 版 本 。 
次 版 本 (min version ) : 人 4 pn 
mr type) : 这 个 8 位 域 指定 组 成 消息 的 交换 类 型 。 
标志 (flag): 这 个 8 tt ISAKMP 设置 的 具体 选项 。 目 前 使 用 了 这 个 域 的 
前 ee ee 其 他 位 在 传输 前 被 设置 为 0。 
消息 ID: 4 个 字 节 ,用 来 标识 一 个 ISAKMP 消息 。 
长 度 : 4 个 字 节 ,以 8 位 字 节 来 计算 的 整个 消息 (报头 加 载荷 ) 的 长 度 。 


ISAKMP 载荷 


在 ISAKMP 定 长 的 报头 后 面 是 不 定 长 的 载荷 。RFC 2408 共 定 义 了 13 种 载荷 。 表 5. 1 说 
明了 这 些 载荷 所 分 配 的 值 , 这 些 值 会 出 现在 ISAKMP 头 的 下 一 个 载荷 字段 中 或 者 是 载荷 头 
中 下 一 个 载荷 字段 中 。 


表 5.1 ISAKMP 载荷 分 配 表 


下 一 个 载荷 分 配 的 值 下 一 个 载荷 分 配 的 值 
无 0 杂凑 载荷 8 
安全 协定 载荷 1 签名 载荷 9 
建议 载荷 2 Nonce 载荷 10 
交换 载荷 3 通知 载荷 11 
密 钥 交换 载荷 4 删除 载荷 电 
标识 载荷 各 厂商 载荷 13 
证 书 载 荷 6 保留 14 一 127 
证 书 请 求 载荷 7 私有 使 用 128 一 255 
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5.5.2 IKE 


IKE 的 密 钥 交换 分 为 两 个 独立 阶段 : 第 一 个 阶段 建立 一 个 安全 通道 ,使 得 第 二 个 阶段 
的 协商 可 以 秘密 地 进行 ; 第 二 个 阶段 为 IPSec 创建 安全 协定 。 

在 第 一 阶段 ,通信 双方 彼此 建立 一 个 已 通过 身份 认证 和 安全 保护 的 隧道 , 称 为 
ISAKMPSA(IKE 的 一 种 安全 协定 ,也 称 为 IKESA)。 一 旦 ISAKMPSA 建立 起 来 ,所 有 发 
起 方 与 应 答 方 之 间 的 IKE 通信 都 经 过 加 密 、 完 整 性 检查 和 认证 保护 。 

两 台 主机 之 间 可 以 同时 建立 多 个 ISAKMPSA ,一 个 ISAKMPSA 也 可 以 用 于 创建 多 个 
IPSec SA,ISAKMPSA 的 结束 不 会 影响 其 创建 的 IPSec SA 发 生 作用 。 

IKE 定义 了 几 组 用 于 Diffie-Hellman 交换 的 群 参数 ,并 提供 用 户 创建 新 群 的 机 制 。 

IKE 定义 了 主 模式 .野蛮 模式 .快速 模式 和 新 群 模式 4 种 交换 模式 。 前 三 个 用 于 协商 
SA ,第 四 个 用 于 协商 Diffie-Hellman 交换 的 群 。SA 或 群 提议 (group offer) 以 变换 载荷 的 
形式 封装 在 建议 载荷 中 ,而 建议 载荷 又 封装 在 安全 载荷 中 。 下 面 分 别 介绍 这 些 交换 模式 。 


1. 主 模式 


主 模式 用 于 协商 IKE 密 钥 交换 阶段 1 的 ISAKMPSA, 它 包括 一 个 经 过 认证 的 Diffie- 
Hellman 密 钥 交 换 过 程 。 主 模式 将 密 钥 交换 信息 与 用 户 身 份 .认证 信息 分 离 , 这 种 分 离 保护 
了 身份 信息 ,因为 交换 的 身份 信息 受到 了 前 面 生成 的 Diffie-Hellman 共享 秘密 的 保护 。 
图 5.8 说 明了 主 模式 下 的 消息 交互 过 程 。 


发 起 者 接收 者 

(1 JISAKMP 头 SA 载荷 Te 

O) 一 一 一 | ISAKMP 火 SA 载荷 

(3) ISAKMP 头 | 密 钥 交 换 载荷 | Nonce 载 荷 | 一 一 

(4) 一 一 一 | ISAKMP 头 | 密 钥 交换 载荷 | Nonce 载 荷 
G) | sAKMp 头 | 标识 载荷 认 证 数据 | = 

(©) 一 -一 | ISAKMP 头 | 标识 载荷 | 认证 数据 


图 5.8 ”IKE 主 模式 交换 


。 消息 1: 发 起 者 向 响应 者 发 送 一 个 封装 有 建议 载荷 的 SA 载荷 ,而 建议 载荷 中 又 封 
装 有 变换 载荷 。 
。 消息 2: 响应 者 发 送 一 个 SA 载荷 ,该 载荷 表明 它 所 能 够 接受 的 正在 协商 的 SA 的 
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(D) 


(3) 


建议 。 
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。 消息 3 和 消息 4: 发 起 者 和 响应 者 交换 Diffie-Hellman 公开 值 和 辅助 数据 。 这 是 计 
算 共 享 秘密 (用 来 生成 加 密 密 钥 和 认证 密 钥 ) 所 必需 的 。 

。 消息 5 和 消息 6: 发 起 者 和 响应 者 交换 标识 数据 并 认证 Diffie-Hellman 交换 。 这 两 
个 消息 中 传递 的 信息 是 加 密 的 ,用 于 加 密 的 密 钥 使 用 消息 3 和 消息 4 中 交换 的 密 钥 
信息 生成 ,因此 用 户 身 份 信息 受到 了 保护 。 


2. 野蛮 模式 


在 不 需要 保护 身份 信息 时 ,IKE 使 用 野蛮 模式 来 协商 阶段 1 的 SA。 野蛮 模式 允许 同时 
传送 与 SA 、 密 钥 交 换 和 认证 相关 的 载荷 。 将 这 些 载荷 组 合 到 一 条 消息 中 减少 了 消息 的 往 
返 次 数 , 但 是 这 样 无 法 提供 身份 保护 。 图 5. 9 显示 了 野蛮 模式 下 的 消息 交互 过 程 。 


发 起 者 


接收 者 


ISAKMP 头 | SA 载荷 | 密 钥 交换 载 牺 “Nonce 吉 荷 


标识 载荷 | 一 


ISAKMP 头 | 认证 数据 


一 一 | ISAKMP 头 | SA 载荷 | 作 角 交换 载 和 | Nonee 吉 和 


标识 载荷 | 认证 数 册 


图 5.9 ”IKE 野蛮 模式 交换 


。 消息 1: 与 主 模式 类 似 ,发 起 者 向 响应 者 发 送 一 个 封装 有 单个 建议 载荷 的 SA 载荷 ， 
而 建议 载荷 中 又 封装 有 一 个 变换 载荷 。 但 在 野蛮 模式 中 ,只 提供 带 有 一 个 变换 的 建 
议 载 荷 ; 响应 者 可 以 选择 接收 或 拒绝 该 建议 。Diffie-Hellman 公开 值 、 需 要 的 随机 
数 和 身份 信息 也 在 第 一 条 消息 中 传送 。 

。 消息 2: 如 果 响 应 者 接收 发 起 者 的 建议 , 它 发 送 一 个 SA 载荷 ,其 中 封装 有 发 起 者 建 
议 的 变换 的 建议 载荷 。 它 将 Diffie-Hellman 公开 值 、 需 要 的 随机 数 和 身份 信息 作为 
消息 的 一 部 分 同时 传送 。 这 个 消息 受到 协商 一 致 的 认证 函数 保护 。 

。 消息 3: 发 起 者 发 送 经 过 双方 一 致 同意 的 哈 希 函数 生成 的 散 列 值 。 这 个 消息 可 以 认 


证 发 起 者 的 身份 


且 证 明 其 为 交换 的 参与 者 。 这 个 消息 使 用 前 两 个 消息 交换 的 密 


钥 信 息 生 成 的 密 钥 进 行 加 密 。 需 要 注意 的 是 ,包含 身份 信息 的 消息 未 被 加 密 , 所 以 
和 主 模式 不 同 , 野 蛮 模 式 不 提供 身份 保护 。 


3. 快速 模式 


快速 模式 用 于 协商 阶段 2 的 SA .协商 受到 在 阶段 1 协商 好 的 ISAKMPSA 的 保护 。 在 
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快速 模式 下 交换 的 载荷 都 是 加 密 的 。 快 速 模式 下 的 消息 交互 过 程 如 图 5. 10 所 示 。 


(D) 


2) 


发 起 者 接收 者 


ISAKMP 头 | HASH(1) | SA 载荷 | 密 钥 交换 载荷 | Nonce 载 荷 


标识 载荷 | 一 


SA 载荷 | 密 钥 交换 载荷 |Nonce 载 荷 | 标识 载荷 | 认证 数据 


二 ISAKMP 关 | HASHO) 


os 一 


图 5.10 ”IKE 快速 模式 


。 消息 1: 发 起 者 向 接收 者 发 送 一 个 杂凑 载荷 一 个 SA 载荷 (其 中 封装 了 一 个 或 多 个 
建议 载荷 ,而 每 个 建议 载荷 中 又 封装 一 个 或 多 个 变换 载荷 ) 一 个 Nonce 载荷 ,可 选 
的 密 钥 交换 信息 和 标识 信息 。 杂 凑 载 荷 中 包含 消息 摘要 HASH(1) , 它 是 使 用 前 面 
协商 好 的 伪 随 机 函数 对 消息 头 中 的 消息 IDCMSgID) 连 同 杂 凑 载 荷 ( 哈 希 值 ) 的 全 部 
消息 部 分 (包括 所 有 的 载荷 头 ) 进 行 计算 的 结果 。 

。 消息 2: 这 个 消息 中 的 载荷 和 消息 1 中 的 载荷 类 似 。HASH(2) 中 包含 的 散 列 值 的 
生成 方法 和 HASH(1) 中 类 似 , 只 是 除去 了 载荷 头 的 发 起 者 Nonce。 

。 消息 3: 这 个 消息 对 于 前 面 的 交换 进行 认证 , 它 仅 由 ISAKMP 头 和 杂凑 载荷 组 成 。 
杂凑 载荷 中 的 消息 摘要 HASH(3) 是 以 一 个 为 0 的 字 节 连接 着 MSgID, 以 及 去 掉 了 
载荷 头 的 发 起 者 Nonce 和 载荷 头 的 响应 者 Nonce 而 生成 的 。 


4. 新 群 模式 
新 群 模式 用 于 为 Diffie-Hellman 密 钥 交 换 协 商 一 个 新 的 群 。 新 群 模式 是 在 ISAKMP 


阶段 1 中 交换 的 SA 的 保护 之 下 进行 的 。 图 5. 11 是 这 种 模式 下 的 消息 交换 过 程 。 


发 起 者 接收 者 


(1 


ISAKMP 头 | HASH(1) SA 载荷 


2) ISAKMP 头 | HASHO) SA 载荷 


图 5.11 IKE 新 群 模式 


在 第 一 条 消息 中 ,发 起 方 发 送 一 个 SA 载荷 ,其 中 包含 了 新 群 的 特征 (例如 模 指数 运算 


的 质数 ) ,如 果 响 应 者 能 够 接受 这 个 群 , 便 在 第 二 条 消息 中 使 用 完全 一 样 的 信息 做 出 应 答 , 否 
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则 拒绝 该 提议 。 
5.5.3 ”IKE 在 IPSec 中 的 应 用 


下 面 举例 说 明 两 台 主 机 之 间 使 用 IKE 协商 SA 以 及 进行 IPSec 安全 通信 的 过 程 。 

如 图 5. 12 所 示 ,假设 两 台 主机 A 和 B 均 定义 了 IPSec 安全 策略 ,并 启动 IPSec 进行 安 
全 通信 ,IPSec 工作 在 传输 模式 。 主 机 上 的 IPSec 安全 策略 通过 IP 筛选 器 列表 定义 ,该 列表 
中 定义 了 源 地 址 .目标 地 址 、 要 保护 的 上 层 协议 和 端口 号 等 ,通过 设置 这 些 参数 确定 某 个 安 
全 策略 ,然后 对 该 安全 策略 设置 对 应 的 安全 协定 。 数 据 包 外 出 时 ,通过 将 数据 包 的 这 些 参数 
和 筛选 器 列表 相 匹 配 来 确定 该 数据 流 对 应 的 安全 策略 和 安全 协定 。 


SA 协商 


传输 层 


网 络 层 
加 密 后 的 IP 数 据 包 
CI 


图 5.12 IKE 在 IPSec 中 的 应 用 


这 种 情形 下 ,两 台 主 机 使 用 IPSec 进行 安全 通信 的 过 程 可 描述 如 下 。 

@ 主 机 A 上 的 应 用 程序 向 主机 B 发 送 一 个 包含 应 用 层 协议 的 IP 报 文 。 

@ 主机 A 上 的 IPSec 驱动 程序 检查 其 出 站 IP 筛选 器 列表 ,确定 应 该 保护 该 数据 包 。 

@ 为 了 协商 安全 协定 ,IPSec 驱动 程序 通知 IKE 开始 进行 密 钥 协 商 。 主 机 A 上 的 
IKE 服务 将 自己 的 IP 地 址 用 作 源 地 址 ,主机 B 的 IP 地 址 用 作 目 标 地 址 完成 策略 查找 , 主 
模式 筛选 器 匹配 确定 了 主机 A 向 主机 B 提供 的 主 模式 设置 ; 主机 A 在 主 模式 下 ,使 用 
UDP 源 端 口 500 .目标 端口 500 发 送 第 一 条 IKE 消息 。IKE 报 文通 过 IPSec 驱动 程序 接 
受 特殊 处 理 , 以 跳 过 筛选 器 。 

@ 主机 B 收 到 请 求 安全 协商 的 IKE 主 模式 消息 (参见 5. 5. 2 节 ) , 它 使 用 UDP 报 文 的 
源 IP 地 址 和 目标 IP 地 址 执行 主 模式 策略 查找 ,以 确定 要 同意 哪些 安全 设置 。 主 机 B 具有 
匹配 的 主 模 式 文件 ,因此 进行 回复 ,以 开始 主 模式 SA 的 协商 。 

@ 主机 A 与 主机 B 开始 协商 选项 交换 标识 、 验 证 这 些 标识 的 信任 度 (身份 验证 ) , 然 
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后 生成 共享 的 主 密 钥 。 它 们 现在 已 经 建立 了 IKE 主 模式 SA。 主 机 A 与 主机 B 相互 信任 。 

@ 主机 A 执行 IKE 快速 模式 策略 查找 ,选择 快速 模式 安全 设置 并 向 主机 B 提供 这 些 
设置 以 及 快速 模式 筛选 器 。 

@ 主机 B 使 用 主机 A 提供 的 筛选 器 描述 执行 IKE 快速 模式 策略 查找 。 主 机 B 选择 
其 策略 所 需 的 安全 设置 ,并 将 这 些 设 置 与 主机 A 提供 的 设置 进行 比较 。 主 机 B 将 接受 一 组 
选项 ,并 完成 其 余 的 IKE 快速 模式 协商 步骤 ,以 创建 一 对 IPSec 安全 协定 。 

此 后 ,该 IPSec SA 为 应 用 程序 的 数据 通信 提供 透明 的 保护 。 只 要 应 用 程序 发 送 和 接收 
数据 ,IPSec SA 就 会 自动 被 IKE 快速 模式 协商 刷新 。 当 应 用 程序 停止 发 送 和 接收 数据 时 ， 
IPSec SA 即 处 于 空闲 状态 ,并 被 删除 。 

通常 ,IKE 主 模式 SA 不 会 被 删除 。 默 认 情 况 下 , 主 模式 SA 的 生存 期 为 8 小 时 。 当 发 
送 数据 的 通信 量 比较 大 时 ,IKE 将 自动 协商 新 的 快速 模式 ,以 创建 两 个 新 的 IPSec SA 来 保 
护 应 用 层 协 议 的 通信 。 这 种 协商 的 主 模式 SA 已 经 存在 ,因此 协商 过 程 不 会 耗费 太 多 时 间 。 
如 果 主 模式 SA 过 期 , 则 IKE 会 根据 需要 自动 重新 协商 主 模 式 SA。 

通信 的 主机 之 间 的 路 径 中 ,所 有 路 由 器 或 交换 机 将 加 密 的 IP 报 文 转发 给 它们 的 目的 
地 。 但 是 ,如 果 路 径 中 有 防火 墙 、 安 全 路 由 器 或 代理 服务 器 ,就 可 能 不 会 转发 IPSec 与 IKE 
通信 。 必 须 配 置 这 些 设备 以 允许 IPSec 和 IKE 协议 数据 包 经 过 。 如 果 IPSec 报 文 未 加 密 ， 
防火 墙 或 安全 路 由 器 仍 可 以 检查 TCP 或 UDP 端口 或 数据 包 中 的 其 他 内 容 。 如 果 这 些 数 
据 包 的 内 容 在 传输 过 程 中 被 修改 ,那么 接收 IPSec 的 主机 就 会 检测 出 这 种 修改 并 丢弃 这 些 
数据 包 。 


5.6 验证 头 AH 


如 前 所 述 ,AH 协议 可 以 提供 无 连接 的 数据 完整 性 .数据 源 认 证 和 抗 重 放 保 护 等 安全 服 
务 。AH 使 用 消息 验证 码 HMAC 对 IP 报 文 进 行 认证 。AH 协议 定义 保护 方法 .AH 报头 
的 位 置 .身份 鉴别 的 覆盖 范围 以 及 输入 和 输出 处 理 规则 ,但 不 对 所 用 身份 验证 算法 和 验证 方 
法 进行 定义 ,这 取决 于 IPSec 的 协议 实现 。 例 如 Windows 系统 中 ,IPSec 可 提供 三 种 形式 的 
报 文 源 鉴 别 : 基于 对 称 密 钥 (共享 密 钥 ) 的 、 基 于 非 对 称 密 钥 (使 用 数字 证 书 ) 的 以 及 
Kerberos 认证 。AH 没有 硬性 规定 必须 使 用 抗 重 放 保 护 , 是 否 使 用 该 服务 由 接收 端 自行 
处 理 。 


5.6.1 AH 报 文 格式 


如 图 5. 13 所 示 ,AH 报头 由 5 个 固定 长 度 域 和 一 个 变 长 的 认证 数据 域 组 成 。 下 面 分 别 
描述 各 个 域 的 功能 。 
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发 起 者 cookie 
响应 者 cookie 
下 一 个 载荷 主 版 本 次 版 本 交换 类 型 标志 
消息 ID 
长 度 


图 5.13 认证 头 格式 


下 一 个 头 Cnext header) : 这 个 8 比特 的 域 指出 AH 后 的 下 一 个 载荷 的 类 型 。 在 传 
输 模式 下 ,“ 下 一 个 头 ” 是 被 保护 的 上 层 协议 ,如 UDP 或 TCP 协议 。 在 隧道 模式 下 ， 
AH 的 上 层 协议 则 是 原始 IP 报 文 ,例如 其 值 为 4 表示 IP 一 IP(IPv4) 封 装 。 如 果 后 
面 是 另 一 个 AH 载荷 (用 于 内 套 使 用 的 IPSec), 则 这 个 域 值 为 51。 该 域 的 取 值 如 
表 5.2 所 示 。 

表 5.2 AH 报 文中 的 Next Header 的 取 值 


取 值 关 键 字 协 议 
0 Reserved 
1 ICMP Internet Control Message 
2 IGMP Internet Group Management 
4 IP IP in IP(encasulation) 
6 ICP Transmission Control 
17 UDP User Datagram 
50 SIPP-ESP SIPP Encap Security Payload 
51 SIPP-AH SIPP Authentication Header 


载荷 长 度 (payload length) : 这 个 8 比特 的 域 包含 以 2 比特 为 单位 的 AH 的 长 度 减 
2。 因 为 AH 头 是 一 个 IPv6 扩展 头 ,按照 RFC2460, 它 的 长 度 是 从 64 比特 表示 的 头 
长 度 中 减 去 一 个 64 比特 得 到 的 。 但 AH 采用 32 比特 来 计算 ,因此 ,计算 时 应 该 减 
去 两 个 32 比特 (或 一 个 64 比特 ) 。 

保留 (reserved) : 这 个 16 比特 的 保留 域 供 将 来 使 用 。AH 规定 这 个 域 应 被 置 为 0。 
安全 参数 索引 (SPI) : SPI 是 一 个 32 比特 的 证 书 , 用 于 和 IP 报 文 的 源 地 址 或 目的 地 
址 以 及 IPSec 协议 (AH 或 ESP) 共 同 唯一 标识 一 个 数据 包 所 属 的 数据 流 的 安全 协 
定 SA。SPI 域 的 取 值 中 ,1 一 255 被 留 作 将 来 使 用 ,0 被 保留 。 

序列 号 (sequence number) : 这 个 域 包含 一 个 作为 单调 增加 的 计数 器 的 32 位 无 符号 
整数 。AH elo 口 来 提供 抗 重 放 安全 服务 。SA 建立 时 ,发 送 方 和 
接收 方 序列 号 初始 化 为 0; 通信 双方 每 使 用 一 个 特定 的 SA 发 送 一 个 数据 包 则 将 其 值 
加 1, 用 于 抵抗 重 放 攻击 ; AH 规范 强制 发 送 者 必须 发 送 序列 号 给 接收 者 ,而 接收 者 可 
以 选择 不 使 用 抗 重 放 特性 ,这 时 它 不 理会 该 序列 号 即 可 ; 若 接 收 者 启用 抗 重 放 特性 ， 
则 使 用 滑动 窗口 机 制 检测 重 放 包 。 具 体 采用 的 滑动 窗口 协议 因 IPSec 的 实现 而 异 。 
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。 认证 数据 (authentication data) : 这 个 变 长 域 包含 数据 包 的 认证 数据 ,该 认证 数据 被 
称 为 数据 包 的 完整 性 校 验 值 (integrity check value,ICV) 。 用 来 生成 ICYV 的 算法 由 
SA 指定 ,用 来 计算 ICV 的 可 用 的 算法 因 IPSec 的 实现 不 同 而 不 同 。 为 了 保证 互 操 
作 性 ,AH 强制 所 有 的 IPSec 实现 必须 包含 两 个 MAC, 即 HMAC-MD5 和 HMAC- 
SHA-1。ICYV 的 长 度 依赖 于 所 使 用 的 MAC 算法 ,例如 HMAC-MD5 可 以 为 128 
位 ,HMAC-SHA-1 可 以 为 160 位 。 对 于 IPv4 报 文 , 这 个 域 的 长 度 必 须 是 32 的 整数 
倍 ; 对 于 IPv6 报 文 ,这 个 域 的 长 度 必须 是 64 的 整数 倍 。 如 果 一 个 IPv4 报 文 的 ICV 
域 的 长 度 不 是 32 的 整数 倍 , 或 者 一 个 IPv6 报 文 的 ICV 域 的 长 度 不 是 64 的 整数 倍 ， 
必须 添加 填充 位 使 ICV 域 的 长 度 达 到 所 需 长 度 。 


5.6.2 AH 操作 模式 


在 进行 安全 通信 保护 时 ,AH 头 的 位 置 依赖 于 AH 的 操作 模式 。AH 有 两 种 操作 模式 ， 
即 传输 模式 和 隧道 模式 。 


1. AH 传输 模式 
在 传输 模式 中 ,AH 报头 被 插入 在 IP 报 文 中 , 紧 跟 在 IP 头 之 后 和 需要 保护 的 上 层 协 议 
或 其 他 IPSec 协议 头 之 前 (用 于 IPSec 的 咀 套 )。 因 此 ,在 传输 模式 中 ,对 IPv4 而 言 ,AH 被 
插 在 IP 变 长 可 选 域 之 后 。 图 5. 14 说 明了 IPv4 的 传输 模式 下 AH 相对 于 其 他 头 部 域 的 
位 置 。 
应 用 AH 之 前 的 IPv4 报 文 
| IP 报 头 传输 协议 头 传输 协议 数据 


应 用 AH 之 后 的 IPv4 报 文 
| iP 报头 AH 认 证 头 传输 协议 头 。 | 传输 协议 数据 
= 认证 范围 一 


图 5.14 IPv4 传输 模式 下 AH 的 封装 


IPv6 中 不 再 有 以 往 的 IP 报头 中 的 可 选 域 。IPv6 中 ,选项 被 处 理 为 单独 的 头 , 称 作 扩展 
头 。 扩 展 头 插 和 人 在 IP 报头 的 后 面 , 这 个 特征 提高 了 IP 报 文 的 处 理 速度 : 除了 包含 路 由 器 
需要 检查 的 路 由 信息 的 逐 跳 (hop by hop) 扩 展 头 外 ,其 他 头 部 字段 不 会 被 从 源 到 目的 的 沿 
途中 间 节 点 处 理 , 而 是 仅 被 目标 主机 处 理 。 

在 IPv6 的 传输 模式 中 ,AH 被 插入 在 逐 跳 .路 由 和 分 段 扩 展 头 的 后 面 ; 目的 选项 扩展 
头 可 以 被 置 于 AH 头 的 前 面 或 后 面 。 如 果 目 的 选项 头 被 出 现在 IPv6 目的 地 址 域 的 第 一 个 
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目标 主机 以 及 其 后 的 路 由 头 中 列 出 的 目标 主机 列表 处 理 , 那 么 它 仅 被 目标 主机 处 理 , 则 应 该 
放 在 AH 之后。 图 5.15 说 明了 IPv6 中 ,AH 传输 模式 下 ,AH 报头 相对 于 其 他 IPv6 扩展 


头 的 位 置 。 


应 用 AH 之 前 的 IPv6 报 文 

IP 报 头 扩展 头 (如 果 有 ) | ”传输 协议 头 。 | 传输 协议 数据 

应 用 AH 之 后 的 IPv6 报 文 

IP 报 头 过 点。 路 只 全 各 以 AH 认 证 头 传输 协议 头 ”| 传输 协议 数据 
- 认证 范围 ~ 


图 5.15 


IPv6 传输 模式 下 AH 的 封装 


无 论 在 IPv4 下 还 是 在 IPv6 下 ,AH 验证 的 都 是 整个 IP 报 文 (包括 报头 ) 。 


2. AH 隧道 模式 


如 图 5. 16 所 示 ,在 隧道 模式 中 ,AH 将 自己 保护 的 数据 包 ( 通 常 是 IPv4 或 IPv6 报 文 ) 
封装 起 来 ,然后 在 AH 头 之 前 添 一 个 新 的 IP 报头 。“ 里 面 的 ”IP 报 文中 包含 了 通信 的 原始 
地 址 ,“ 外 面 的 "IP 报 文 则 包含 了 IPSec 端点 的 地 址 。 
应 用 AH 之 前 的 IPv4 报 文 


IPv4 报 头 


传输 协议 头 


传输 协议 数据 


应 用 AH 之 后 的 IPv4 报 文 


| 外 部 IPv4 报 头 


AH 认 证 头 


原始 IPv4 报 头 


传输 协议 头 


传输 协议 数据 


-一 一 一 一 一 一 一 除 可 变 域 外 都 要 认证 


图 5.16 


| 


IPv4 隧道 模式 下 AH 的 封装 


如 图 5. 17 所 示 ,在 IPv6 报 文中 ,除了 新 的 IP 报头 外 ,原始 数据 包 的 扩展 头 也 被 插入 在 
AH 报头 前 面 。 


应 用 AH 之 前 的 IPv6 报 文 


IP 报 头 


扩展 头 (如 果 有 ) 


传输 协议 头 


传输 协议 数据 


应 用 AH 之 后 的 IPv6 报 文 


外 部 iP 报头 | 扩展 头 (如 果 有 ) 上 GE 原始 Ip 报 头 


扩展 头 (如 果 有 ) | 传输 协议 头 


传输 协议 数据 


一 


图 5.17 


认证 范围 


IPv6 隧道 模式 下 AH 的 封装 


| 
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和 传输 模式 类 似 , 隧 道 模式 下 AH 验证 整个 IP 数据 包 , 包 括 新 的 IP 报头 。AH 隧道 模 
式 可 用 来 替换 端 到 端 安全 服务 的 传输 模式 ,但 由 于 AH 协议 没有 提供 机 密 性 保护 ,因此 AH 
只 能 保证 收 到 的 数据 包 在 传输 过 程 中 没有 被 算 改 ,并 且 数 据 包 来 源 于 一 个 可 信 的 实体 ,同时 
它 不 是 一 个 被 重 放 的 数据 包 。 


5.6.3 AH 协议 处 理 过 程 


图 5.18 中 给 出 了 AH 协议 的 处 理 过 程 。 对 于 外 出 的 数据 包 ( 图 5. 18 的 左 侧 部 分 )， 
AH 协议 根据 数据 包 的 目标 IP 地址 .目标 端口 号 以 及 协议 类 型 (AH 或 ESP) 在 SPD 中 查找 
对 应 的 安全 策略 ,如 果 没 有 该 数据 包 对 应 的 策略 则 将 该 数据 包 丢 弃 , 否 则 ,按照 SP 中 对 应 
的 SA 指针 查找 SAD, 确 定 该 数据 包 对 应 的 SA。 


DestIP+Port+ESP/AH 


Discard | 一 SPD I~ 


进入 IPSec 处 理 


抽取 IP 头 中 的 SPL、DestIP 、ESP/AH 主 SAD 


成 功 失败 
SAD | 一 SA 未 建立 匹配 选择 符 失败 Discard & Record 
SA 成 功 
py 全 [是 否 传输 慑 坊 议 


查找 并 匹配 SA 


产生 或 增加 序列 号 值 


失败 
1 
由 计算 并 匹配 ICV 
转发 报 文 成 功 


El 
图 5.18 AH 输出 -输入 处 理 流程 


如 果 SA 已 建立 , 则 选取 SA 参数 后 ,进入 AH 协议 处 理 过 程 ,对 该 数据 包 实 施 AH 封 
装 和 处 理 : 首先 ,为 了 提供 抗 重 放 功能 ,将 AH 报头 的 序列 号 值 加 1( 对 于 第 一 个 数据 包 则 
将 其 初始 化 为 0) ,其 后 ,根据 SA 中 指定 的 完整 性 算法 和 密 钥 计 算 ICV 作为 AH 报 文中 的 
验证 数据 字段 ,同时 将 SPI 的 值 插入 到 安全 协议 的 头 部 ; 最 后 ,根据 SA 中 确定 的 协议 操作 
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模式 ,将 AH 报头 的 其 他 字段 按照 操作 模式 对 应 的 顺序 进行 协议 封装 后 ,将 数据 包 交 由 链 
路 层 协 议 处 理 。 

如 果 该 数据 包 对 应 的 SA 未 建立 , 则 调用 IKE 生成 AH 所 需 的 安全 参数 (如 密 钥 等 )， 
然后 选取 对 应 的 SA 后 ,进入 AH 协议 处 理 过 程 。 

对 于 进入 的 数据 包 ( 图 5. 18 的 右 侧 部 分 ) ,考虑 到 IP 报 文 可 能 会 被 分 片 , IPSec 首先 按 
照 了 P 协议 的 规定 对 数据 包 进 行 重 组 ,还 原 为 经 过 鉴别 保护 的 IP 报 文 后 ,进行 AH 协议 处 
理 : 从 AH 数据 包 的 头 部 提取 SPI、 目 标 IP 地 址 以 及 协议 (AH) 等 字段 ,将 该 三 元 组 作为 索 
引 值 查找 SAD 数据 库 , 以 确定 该 数据 包 对 应 的 安全 参数 ; 如 果 成 功 找到 该 数据 包 对 应 的 
SA, 并 进行 IP 报 文 重组 后 ,按照 SA 中 的 参数 计算 ICV ,将 之 和 AH 数据 包 中 的 认证 数据 
比较 ,匹配 成 功 后 将 该 报 文 还 原 为 IP 报 文 , 交 由 上 层 协议 处 理 ; 如 果 没 有 对 应 的 SA, 或 
ICV 校 验 不 成 功 , 则 将 该 数据 包 丢 弃 。 


5.7 封装 安全 载荷 ESP 


ESP 可 以 提供 和 AH 类 似 的 服务 ,但 增加 了 两 个 额外 的 服务 : 数据 机 密 性 和 有 限 的 数 
据 流 保密 服务 。 其 中 ,数据 机 密 性 服务 通过 使 用 对 称 密码 加 密 IP 报 文 的 相关 部 分 实现 , 数 
据 流 保密 服务 由 隧道 模式 下 的 机 密 性 服务 提供 。ESP 加 密 数 据 包 的 密码 算法 取决 于 IPSec 
实现 以 及 用 户 的 安全 协定 。 例 如 ,加 密 算法 可 以 是 3DES、DES 等 。 和 AH 类 似 ,ESP 使 用 
消息 验证 码 MAC 提供 认证 服务 ,并 且 产 生 消 息 鉴 别 码 时 需要 一 个 密 钥 ,即使 用 HMAC。 
ESP 提供 的 机 密 性 和 数据 源 鉴 别 ( 包 括 完整 性 保护 ) 功 能 是 可 选 的 ,例如 用 户 可 以 选择 只 加 
密 不 鉴别 ,也 可 以 同时 使 用 加 密 和 鉴别 服务 。ESP 既 可 以 单独 使 用 ,也 可 以 以 租 套 的 方式 
使 用 或 者 和 AH 结合 使 用 。 


5.7.1 ESP 报 文 格式 


如 图 5. 19 所 示 ,ESP 报 文 由 4 个 固定 长 度 的 安全 参数 索引 (SPD 
域 和 三 个 变 长 域 组 成 。 以 下 分 别 描述 各 个 域 的 序列 号 
功能 。 


En 


。 安全 参数 索引 (security parameters index， 和 载荷 数据 ( 变 长 ) 
0 AH 的 SPI 一 样 ,ESP Sb 也 0 一 255 个 填充 字 节 
是 一 个 32 比特 的 索引 值 ,用 于 和 源 地 址 围 项 充 长 度 | 下 一 不 赤 
或 目的 地 址 以 及 IPSec 安全 通信 协议 一 

认证 数据 


(AH 或 ESP) 共 同 唯一 标识 一 个 数据 包 
所 属 的 安全 协定 。SPI 本 身 需 要 经 过 验 图 5. 19 ESP 报头 格式 
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证 ,但 不 进行 加 密 。 如 果 SPI 本 身 被 加 密 , 则 无 法 得 到 解密 ESP 数据 包 的 各 种 参数 
(如 解密 算法 和 密 钥 等 ) ,因为 它们 保存 在 SA 中 。 

序列 号 (sequence number): 同 AH 一 样 , 这 个 域 是 一 个 作为 单调 增加 的 计数 器 的 
32 位 无 符号 整数 。ESP 使 用 序列 号 和 滑动 窗口 来 提供 抗 重 放 的 安全 服务 。 同 SPI 
一 样 ,序列 号 需要 经 过 验证 (在 选择 了 带 验 证 功能 的 ESP 的 情况 下 ) ,但 不 进行 加 
密 。 这 是 由 于 ESP 将 根据 它 判 断 一 个 包 是 否 重复 ,对 于 重复 的 包 无 须 解 密 即 可 简 
单 丢 弃 , 因 此 序列 号 没有 必要 保密 ,只 要 可 以 证 明 它 没有 被 算 改 就 可 以 了 。 
载荷 数据 (payload data): 这 是 一 个 变 长 域 。 这 个 字段 包含 了 ESP 保护 的 实际 数 
据 。 因 此 ,这 个 字段 的 长 度 由 IPSec 净 载 荷 的 数据 长 度 决定 。 它 的 长 度 以 比特 为 单 
位 并 且 必 须 是 8 的 整数 倍 。 也 可 在 保护 数据 字段 中 包含 一 个 加 密 算法 可 能 需要 用 
到 的 初始 化 向 量 IV ,但 初始 化 向 量 不 加 密 。 

填充 (padding) : 该 字段 用 于 在 ESP 中 保证 边界 的 正确 。 长 度 是 0 一 255 字 节 。 某 
些 加 密 算法 模式 要 求 密码 的 输入 是 其 块 大 小 的 整数 倍 , 填 充 项 就 是 用 来 完成 这 一 任 
务 的 。 同 时 ,假如 SA 没有 要 求 机 密 性 保证 , 仍 需 通 过 填充 项 把 ESP 头 的 “填充 长 
度 "” 和 “下 一 个 头 ” 这 两 个 字段 靠 右 排列 。 此 外 ,这 项 技术 还 可 用 来 隐藏 载荷 数据 的 
真正 长 度 。 至 于 具体 填充 内 容 , 与 提供 机 密 性 的 加 密 算法 有 关 。 

填充 长 度 (pad length): 填充 长 度 是 一 个 8 比特 的 域 ,表明 填充 域 中 填充 比特 的 长 
度 。 接 收 端 可 以 根据 填充 长 度 恢 复 载荷 数据 的 真实 长 度 。 这 个 域 的 有 效 值 是 0 一 
255 字 节 。 填 充 项 长 度 字 段 是 硬性 规定 的 ,因此 ,即使 没有 填充 ,填充 长 度 字 段 仍 会 
将 它 表示 出 来 。 

下 一 个 头 (next header): 和 AH 类 似 , 这 个 8 比特 的 域 表 明了 载荷 中 封装 的 数据 包 
类 型 。 如 果 是 传输 模式 ,“ 下 一 个 头 ” 可 能 是 一 个 传输 层 协议 的 值 (如 TCP 对 应 的 值 
是 6); 如 果 是 隧道 模式 , 则 是 原始 IP 报头 的 协议 值 ( 如 IPv4 对 应 的 值 是 4); 如 果 
是 嵌 套 方式 , 则 可 能 是 50 或 51, 表 示 后 面 是 男 一 个 IPSec 报 文 (ESP 或 AH)。 

认证 数据 (authentication data) : 这 个 变 长 域 中 存放 ICV ,用 于 提供 数据 源 鉴 别 和 完 
整 性 保护 服务 。 它 是 对 除 认 证 数据 域 以 外 的 ESP 报 文 进行 计算 获得 的 。 但 认证 的 
对 象 不 包括 原始 IP 报头 ,这 一 点 和 AH 不 同 。ICYV 的 长 度 由 SA 所 用 的 认证 算法 
决定 。 如 果 对 ESP 报 文 进行 处 理 的 SA 中 没有 指定 身份 验证 器 ,就 不 会 有 验证 数据 
字段 ( 即 双方 协商 只 使 用 ESP 进行 加 密 保护 而 不 进行 数据 源 鉴别 )。 


5.7.2 ESP 操作 模式 


和 AH 一 样 ,ESP 在 IP 报 文中 的 位 置 取决 于 ESP 的 操作 模式 , 即 传输 模式 和 隧道 
模式 。 
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1. ESP 传输 模式 


在 传输 模式 下 ,ESP 被 插入 到 IP 报头 和 所 有 的 选项 之 后 、 传 输 层 协议 之 前 ,或 者 在 
已 应 用 的 任意 IPSec 协议 (如 另 一 个 ESP) 之 前 。 在 IPv4 传输 模式 下 ,ESP 被 插入 在 
IPv4 的 变 长 选项 域 之 后 。 图 5. 20 显示 了 IPv4 中 ,ESP 在 传输 模式 下 相对 于 其 他 头 部 域 
的 位 置 。 


应 用 ESP 之 前 的 IPv4 报 文 


IPv4 报 头 传输 协议 头 “| 传输 协议 数据 


应 用 ESP 之 后 的 IPv4 报 文 
IPv4 报 头 “| ESP 头 7 传输 协议 数据 | ESP 尾 部 


- 加 密 部 分 | 
- 认证 部 分 -| 


图 5. 20 传输 模式 下 ESP 相对 于 其 他 IPv4 报头 的 位 置 


ESP 认 证 数据 


图 中 的 ESP 头 部 域 由 SPI 和 序列 号 域 组 成 ,ESP 尾部 由 填充 域 . 填 充 长 度 域 和 “下 一 个 
头 ” 域 组 成 (如 图 5. 19 所 示 )。 图 中 ESP 同时 提供 机 密 性 保护 和 数据 认证 服务 。 如 前 所 述 ， 
即使 需要 机 密 性 服务 ,SPI 和 序列 号 域 也 不 被 加 密 , 因 为 接收 节点 需要 这 些 域 来 标志 处 理 数 
据 包 的 SA; 此 外 ,如 果 启 动 了 抗 重 放 服 务 , 序 列 号 域 还 要 被 用 来 检验 重 放 数 据 包 。 同 样 , 认 
证 数据 域 也 不 被 加 密 , 因 为 目标 主机 在 处 理 这 个 数据 包 之 前 需要 使 用 认证 域 (ESP 认证 数 
据 ) 来 验证 数据 包 的 完整 性 以 及 消息 的 来 源 。 

对 于 IPv6 报 文 ,ESP 被 插入 在 逐 跳 .路 由 和 分 段 扩展 头 之 后 ; 目的 选项 扩展 头 可 以 放 
在 ESP 报头 的 前 边 或 后 边 。 如 果 目 标 选项 头 仅 被 目的 节点 处 理 , 那 么 它 可 以 置 于 ESP 之 
后 ; 否则 ,目标 选项 头 将 放 在 ESP 之前。 图 5. 21 说 明了 IPv6 传输 操作 模式 下 ,ESP 相对 于 
其 他 IPv6 扩展 头 的 位 置 。 


应 用 ESP 之 前 的 IPv6 报 文 


IPv6 报 头 扩展 头 (如 果 有 ) | 传输 协议 头 传输 协议 数据 


应 用 ESP 之 后 的 Ipv6 报 文 
tpv6 报 类 | 逐 呈 路 朋 信 如 以 | Esp 关 | 传输 协议 类 | 传输 协议 数据 | ESP 必 部 | ESP 认 证 数据 


- 加 密 部 分 | 
- 验证 部 分 一 | 


图 5.21 传输 模式 下 ESP 相对 于 其 他 IPv6 扩展 头 的 位 置 
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从 图 5. 20 和 图 5. 21 中 可 以 看 出 ,传输 模式 下 ,ESP 不 对 IP 报 文 头 部 进行 验证 ,该 部 分 
的 验证 可 以 由 AH 实施 。 由 于 ESP 不 对 IP 报头 进行 验证 ,所 以 目标 主机 可 能 无 法 检测 到 
IP 报头 发 生 的 修改 。 这 样 ,ESP 传输 模式 认证 服务 所 提供 的 安全 性 就 不 如 AH 传输 模式 。 
因此 ,需要 更 高 安全 级 并 且 通 信 双 方 使 用 公开 IP 地 址 时 ,应 该 采用 AH 认证 服务 或 联合 使 
用 AH 和 ESP。 此 外 ,ESP 在 传输 模式 下 是 不 能 提供 数据 流 保密 服务 的 ,因为 源 和 目的 IP 
地 址 均 未 得 到 加 密 。 


2. ESP 隧道 模式 

隧道 模式 下 ,ESP 头 部 被 插入 在 原始 IP 报头 之 前 ,并 且 生 成 一 个 新 的 IP 报头 置 于 ESP 
报头 之 前 。 其 中 ,内 部 IP 报头 的 源 地 址 和 目的 地 址 是 实际 的 源 和 目标 主机 的 地 址 ,而 外 部 
IP 地 址 是 ESP 端点 的 地 址 (例如 源 节点 和 目的 节点 的 安全 网 关 的 地 址 )。 因 此 ,内 、 外 部 的 
IP 报头 的 源 地 址 和 目的 地 址 可 能 不 同 。 图 5. 22 和 图 5. 23 中 分 别 给 出 了 ESP 隧道 模式 在 
IPv4 和 IPv6 中 的 报 文 封装 顺序 。 


应 用 ESP 之 前 的 IPv4 报 文 


IPv4 报 头 传输 协议 头 传输 协议 数据 


应 用 ESP 之 后 的 IPv4 报 文 
外 部 IPv4 报 头 | ESP 头 | 原始 IPv4 报 头 | 传输 协议 头 | ”传输 协议 数据 “| ESP 尾 部 |ESP 认 证 数据 


= 加 密 部 分 -| 


一 认证 部 分 一 | 
图 5.22 隧道 模式 下 ESP 相对 于 IPv4 报头 的 位 置 


应 用 ESP 之 前 的 IPv6 报 文 
原始 IP 报 头 扩展 头 ( 如 果 有 ) 传输 协议 头 传输 协议 数据 


应 用 ESP 之 后 的 IPv6 报 文 


1 便当 | 扩展 头 | ESP 头 | 原始 IP 报 头 | 扩展 头 | 传输 协议 头 | ”传输 协议 数据 | ESP 尾 部 |ESP 认 证 数据 


加 密 部 分 ek. 
- 认证 部 分 ”| 
图 5.23 隧道 模式 下 ESP 相对 于 IPv6 及 其 扩展 头 的 位 置 


和 传输 模式 类 似 ,ESP 头 部 域 由 SPI 和 序列 号 组 成 ,尾部 由 填充 域 .填充 长 度 域 和 “下 
一 个 头 ” 组 成 。 
ESP 隧道 模式 认证 和 加 密 服 务 所 提供 的 安全 性 要 强 于 ESP 传输 模式 ,因为 在 隧道 模式 
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下 ,ESP 对 原始 IP 报 文 头 部 进行 了 加 密 和 认证 ,而 传输 模式 则 没有 。 同 时 ,由 于 ESP 隧道 
模式 对 内 部 IP 报头 进行 了 加 密 , 所 以 , 当 它 运行 在 安全 网 关上 时 , 它 可 以 提供 数据 流 保密 服 
务 。 当 然 ,由 于 加 入 了 额外 的 IP 报头 ,会 产生 额外 的 开销 。 


5.7.3 ESP 协议 处 理 及 AH 谱 套 


如 图 5. 24 所 示 ,ESP 协议 的 处 理 过 程 类 似 于 AH 的 处 理 过 程 , 只 是 在 数据 包 外 出 时 ， 
需要 根据 SA 的 参数 加 密 特定 流 的 IP 报 文 , 然 后 计算 数据 包 的 ICV( 如 果 选 择 了 ESP 的 数 


据 源 鉴别 功能 ); 对 于 进入 的 ESP 数据 包 , 协 议 首先 根据 ICV 进行 消息 完整 性 验证 ,然后 ， 
在 正确 解密 该 报 文 后 , 交 由 上 层 协议 处 理 。 
ESP 外 出 处 理 ESP 进 入 处 理 


重组 报 文 


DestIP+Port+ESP/AH 
— 2 抽取 IP 头 中 的 SPI、DestIP 、ESP/AH 查找 
进入 IPSec 处 理 一 : SAD 
成 功 pm 
4 村 学 匹配 选择 符 失败 Discard & Record 
SA 已 建立 成 功 
1 [调用 IKE 生 成 SA | 本 
选取 SA 参数 |- I 二 | 是 否 传输 层 协议 
| 查找 并 匹配 St 
产生 或 增加 序列 号 值 SPD 
失败 
1 
计算 并 WE 二 ICV 
Dd 
计算 ICV 治 9 
1 解密 
分 自 成 功 
转发 报 文 [ie 


图 5. 24 ESP 输出 -输入 处 理 流 程 


AH 可 以 和 ESP 一 起 使 用 ,其 中 传输 模式 下 的 数据 包 封装 如 图 5. 25 所 示 ,隧道 模式 下 
的 数据 包 封装 如 图 5. 26 所 示 。 两 种 模式 下 ,AH 均 被 置 于 ESP 报头 之 前 ,并 对 整个 IP 报 
文 进行 鉴别 。 图 中 的 ESP 只 进行 加 密 , 没 有 进行 数据 源 鉴 别 。 
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经 鉴别 的 数据 


经 加 密 的 数据 


原始 IP 首 部 


AH | ESP 首 部 | TcP Data ”| ESp 尾 部 


图 5.25 ESP 和 AH 联合 使 用 (传输 模式 ) 


经 鉴别 的 数据 


经 加 密 的 数据 


外 部 IP 首 部 | AH ESP “| 原始 IP 首 部 | TCP Data ESP 尾 部 


图 5.26 ESP 和 AH 联合 使 用 (隧道 模式 ) 


5.8 IPSec 的 应 用 


IPSec 可 用 于 多 种 环境 下 增强 网 络 的 安全 性 ,例如 用 于 IPSec VPN、 端 到 端 加 密 以 及 移 
动 IP 安全 等 。 


1. IPSec VPN 


VPN 通过 公共 Internet 建立 私有 数据 传输 通道 ,将 远程 分 支 办 公 机 构 、 商 业 伙伴 和 移 
动 办 公 人 员 等 互联 起 来 ,提供 安全 的 端 到 端 通信 服务 。VPN 兼备 了 公共 网 络 和 专用 网 络 的 
优点 ,将 公共 网 络 丰富 、 灵 活 的 功能 与 专用 网 络 安全 可 靠 的 性 能 结合 在 一 起 。VPN 的 实现 
应 该 满足 安全 通信 的 功能 ,因此 可 以 采用 某 种 形式 的 隧道 机 制 对 数据 包 进 行 加 密封 装 。 

IPSec 可 以 作为 VPN 隧道 协议 为 Internet 上 的 私有 通信 提供 安全 保护 , 它 能 够 提供 全 
面 的 安全 服务 ,未 来 的 VPN 方案 将 会 更 多 地 利用 IPSec 实现 。 如 图 5. 27 所 示 ,两 个 分 支 机 
构 的 安全 网 关 之 间 通过 运行 IPSec 隧道 模式 可 以 实现 IPSec VPN。 

图 5. 27 中 ,如 果 分 支 机 构 的 内 部 网 络 是 可 信 的 ,但 Internet 不 可 信 , 那 么 IPSec 在 每 一 
个 分 支 机 构 的 安全 网 关 可 以 通过 AH/ESP 的 隧道 模式 为 分 支 机 构 之 间 的 通信 提供 安全 服 
务 ,实现 IPSec VPN。 这 样 ,分 支 机 构 A 发 往 分 支 机构 C 的 数据 包 通 过 IPSec 建立 的 隧道 
进行 传输 时 ,可 以 受到 IPSec 的 安全 保护 ,从 而 为 公共 网 络 上 的 通信 提供 安全 服务 。 如 果 是 
AH 隧道 模式 ,整个 数据 包 都 会 受到 完整 性 验证 保护 ,如 果 是 ESP 隧道 模式 ,上 层 协议 数据 
载荷 会 受到 完整 性 保护 ,同时 也 会 得 到 数据 机 密 性 保护 。 

如 果 分 支 机 构 内 部 的 网 络 也 不 可 信 , 而 且 数据 流 要 求 更 高 的 安全 级 别 , 则 可 以 在 需要 保 
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分 支 机 构 B 
图 5.27 利用 IPSec 为 分 支 机 构 提 供 VPN 服务 


护 的 主机 之 间 的 通信 链 路 上 使 用 端 到 端的 认证 和 加 密 ,方法 是 在 主机 上 启用 IPSec, 以 提供 
安全 服务 。 主 机 A 与 主机 C 之 间 的 端 到 端的 IPSec 安全 隧道 为 两 个 主机 之 间 的 通信 提供 
安全 服务 ,可 以 与 安全 网 关 的 IPSec 保护 形成 说 套 隧道 。 

IPSec VPN 可 以 通过 防火 墙 . 路 由 器 和 远程 访问 服务 器 等 多 种 设备 实现 。 


2. 端 到 端 加 密 

操作 系统 中 一 般 实现 了 IPSec 协议 栈 , 因 此 可 以 利用 IPSec 实现 端 到 端 加 密 , 以 保护 IP 
及 其 上 层 协 议 的 数据 包 。 

此 外 ,利用 网 络 适配器 及 硬件 设备 也 可 实现 IPSec 的 功能 ,此 时 这 些 设备 能 够 直接 提供 
IPSec 加 密 和 认证 能 力 : 一 个 网 络 适 配器 从 物理 链 路 上 接收 到 IPSec 数据 包 后 ,可 以 直接 通 
过 提取 数据 包头 部 的 SPI、 源 及 目标 地 址 以 及 安全 通信 协议 ,查找 对 应 的 IPSec 安全 协定 ， 
确定 对 数据 包 进行 验证 和 解密 所 需 的 密 钥 ,然后 网 络 适配器 可 以 直接 在 硬件 中 对 数据 包 进 
行 解密 和 验证 ,而 不 需要 上 层 协 议 处 理 , 因 此 可 以 提高 协议 的 处 理 效 率 。 


3. 移动 IP 安全 

移动 IP 本 身 有 一 定 的 安全 保障 措施 ,但 不 够 灵活 方便 。 利 用 IPSec 隧道 可 以 增强 移动 
IP 的 安全 性 。 可 以 在 移动 IP 网 络 中 建立 多 种 隧道 ,如 : 移动 节点 -家 乡 代 理 隧 道 、 家 乡 代 
理 -外 地 代理 隧道 以 及 外 地 代理 -移动 节点 隧道 等 。 

例如 家 乡 代 理 -外 地 代理 隧道 CHA-FA 隧道 ) 是 从 家 乡 代理 到 外 地 代理 之 间 的 安全 通 
道 。 如 图 5. 28 所 示 ,应 用 这 种 隧道 可 以 为 已 经 存在 的 移动 IP 隧道 增加 IPSec 保护 。 这 种 
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隧道 也 可 以 支持 包括 数据 完整 性 的 数据 源 验 证 和 数据 机 密 性 。 可 以 使 用 这 种 隧道 来 建立 移 
动 节点 所 属 家 乡 子 网 和 移动 节点 当前 访问 的 外 地 子 网 之 间 的 虚拟 专用 网 。 


intemef 


外 地 代理 家 乡 代理 
图 5.28 HA-FA 隧道 


这 种 家 乡 代理 -外 地 代理 隧道 可 以 抵御 开放 的 Internet 上 的 被 动 和 主动 攻击 ,因为 只 有 
移动 节点 满足 了 外 地 代理 的 认证 和 系统 安全 要 求 时 ,隧道 才 可 以 允许 移动 节点 访问 它 的 家 
乡 子 网 。 


本 章 实 验 


1. 利用 Windows 的 IPSec 协议 栈 实现 安全 的 网 络 层 通信 。 
2. 使 用 ETHEREAL 工具 软件 分 析 加 密 前 和 IPSec 加 密 后 的 IP 数据 包 。 


思考 题 


1. IPSec 中 安全 策略 和 安全 协定 SA 的 关系 是 什么 ? SA 中 的 内 容 如 何 产生 ? 

2. 结合 实验 理解 IPSec 中 IKE 的 作用 。 

3. 考虑 如 下 网 络 环境 : 一 台 主 机 和 另 一 台 主 机 通过 Internet 进行 通信 ,并 且 双 方 采用 
IPSec 传输 模式 进行 安全 IP 通信 , 源 主 机 使 用 内 部 私有 IP 地 址 ,由 其 本 地 网 关 进 行 网 络 地 
址 转换 ,这 时 可 能 出 现 传输 模式 下 IPSec 协议 无 法 正常 工作 的 情况 , 试 分 析 其 原因 。 


堵 〇 章 


传输 层 安全 协议 


6.1 SSL 协议 


6.1.1 SSL 概述 


安全 套 接 层 (SSL) 协 议 提供 传输 协议 之 上 的 可 靠 的 端 到 端 安 全 服务 ,为 两 个 通信 对 等 
实体 之 间 提 供 机 密 性 、 完 整 性 以 及 鉴别 服务 。 

SSL 最 初 是 由 Netscape 公司 于 1994 年 开发 的 。SSL 历经 多 次 修订 ,其 中 ,版 本 1 未 得 
到 广泛 使 用 。 版 本 2 即 SSLv2 于 1995 年 发 布 ,是 为 了 满足 Web 通信 的 需要 而 设计 的 。 
SSLv3 也 在 1995 年 发 布 ,SSLv3 对 SSLv2 中 的 多 处 安全 问题 进行 了 修正 。 为 了 设计 一 种 
更 加 强壮 而 且 更 易 分 析 的 系统 ,SSLv3 需要 支持 更 多 的 算法 。 最 终 , 这 些 要 求 使 SSLv3 与 
SSLv2 完全 不 同 , 只 保留 了 一 些 基 本 的 协议 特色 。 

1996 年 IETF 的 TLS 开 发 完成 .TLSvl 是 基于 SSLv3 的 。 并 且 , Netscape、Microsoft 
都 支持 TLSv1。 

SSL 提供 4 个 基本 功能 , 即 身份 认证 .数据 加 密 、 消 息 完整 性 保护 和 密 钥 交换 。 采 用 两 
种 加 密 技 术 , 即 非 对 称 加 密 和 对 称 加 密 。 非 对 称 加 密 包 括 认 证 和 交换 加 密 密 钥 ,对 称 加 密 则 
使 用 会 话 密 钥 加 密 数 据 传 输 。 

如 图 6. 1 所 示 ,SSL 是 独立 于 应 用 层 协 议 的 ,位 于 传输 层 协 议和 应 用 层 协 议 之 间 。 默 认 
情形 下 ,SSL 使 用 TCP 端口 443 进行 通信 。SSL 常用 于 HTTP 协议 ,但 也 可 用 于 其 他 应 用 
层 协 议 ,如 FTP、SMTP 和 Telnet 等 。 

SSL 的 体系 结构 如 图 6. 2 所 示 ,包括 SSL 握手 协议 ,SSL 记录 集 协议 ,更 改 密码 规约 和 
告警 协议 。 


1. SSL 握手 协议 (SSL handshake protocol) 
SSL 握手 协议 中 ,客户 端 和 服务 器 之 间 基 于 非 对 称 加 密 算法 相互 鉴别 ,协商 加 密 算法 


第 6 章 传输 层 安 全 协议 153 


TE BIE SMTP… 


图 6.1 SSL 协议 层次 


和 基于 对 称 加 密 算法 的 会 话 密 钥 ,提供 连接 安全 性 。 连 接 安 全 性 包括 身份 鉴别 ,至 少 对 一 方 
实现 鉴别 ,也 可 以 是 双向 鉴别 ; 协商 得 到 的 共享 密 钥 是 安全 的 ,中 间 人 不 能 知道 ; 协商 过 程 
是 可 靠 的 。SSLv3 提供 对 Deffie-Hellman 密 钥 交换 算法 、 基 于 RSA 等 密 钥 交换 机 制 的 
支持 。 


2. SSL 记录 集 协议 (SSL record protocol) 


SSL 记录 集 协 议 建立 在 可 靠 的 传输 协议 (如 TCP) 基 础 上 ,用 来 封装 高 层 协议 ,提供 连 
接 安 全 性 。 使 用 对 称 加 密 算法 保证 交互 信息 的 机 密 性 ,用 来 对 数据 进行 认证 和 加 密 的 密 钥 
通过 SSL 的 握手 协议 来 协商 。 使 用 HMAC 进行 完整 性 验证 保证 了 交互 信息 的 完整 性 。 
SSLv3 对 数据 认证 (完整 性 验证 ) 支 持 MD5 和 SHA 算法 ,数据 加 密 支 持 R4 和 DES 等 算法 。 


3. 更 改 密码 规约 协议 (SSL change cipher spec protocol) 


更 改 密码 规约 协议 是 最 简单 的 特定 于 SSL 的 协议 , 它 存在 的 目的 是 为 了 标识 密码 策略 
的 变化 。 在 完成 握手 协议 之 前 ,客户 端 和 服务 器 都 要 发 送 这 一 消息 ,以 便 通 知 对 方 其 后 的 记 
录 将 使 用 协商 的 密码 规约 以 及 相关 联 的 密 钥 来 保护 。 更 改 密码 规约 协议 消息 是 在 握手 过 程 
中 安全 参数 协商 好 之 后 发 送 的 ,要 在 握手 协议 的 Finished 消息 发 送 之 前 发 送 。 所 有 意外 的 
更 改 密码 规范 消息 都 将 生成 一 个 “意外 消息 ”Unexpected_message) 进 行 告警 。 


4. 告警 协议 (SSL alert protocol) 

SSL 记录 层 支持 的 内 容 类 型 之 一 是 告警 类 型 。 告 警 协议 将 告警 消息 及 其 严重 程度 传 
递 给 SSL 会 话 中 的 主体 。 告 警 消息 使 用 当前 连接 状态 所 指定 的 方式 来 压缩 和 加 密 。 当 任 
何 一 方 检 测 到 一 个 错误 时 ,检测 的 一 方 就 向 另 一 方 发 送 一 个 告警 消息 。 如 果 告 警 消息 有 
一 个 致命 的 后 果 , 则 通信 的 双方 应 立即 关闭 连接 。 双 方 都 需要 舍弃 任何 与 该 失败 的 连接 
相关 联 的 会 话 标识 符 、 密 钥 等 。 对 于 所 有 的 非 致命 的 错误 ,双方 可 以 缓存 信息 以 恢复 该 
连接 。 


更 改 密码 规约 协议 | ”告警 协议 TIE 


Ib 
IP 


图 6.2 SSL 协议 构成 
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6.1.2 SSL 连接 与 会 话 


SSL 中 有 两 个 重要 的 概念 ,一 个 是 SSL 连接 (connection) ,连接 是 能 提供 合适 服务 类 型 
的 传输 (在 OSI 分 层 模 型 中 的 定义 ) ,对 SSL 这 样 的 连接 是 对 等 关系 ,连接 是 暂时 的 ,每 个 连 
接 都 和 一 个 会 话 相 关 。 另 一 个 概念 是 会 话 (session),SSL 会 话 是 客户 机 和 服务 器 之 间 的 
SSL 协议 对 等 实体 之 间 的 关联 (一 次 会 话 ) ,会 话 由 握手 协议 创建 , 它 定 义 了 一 组 可 以 被 多 
个 连接 共用 的 密码 安全 参数 。 会 话 和 连接 的 关系 如 图 6. 3 所 示 。 对 于 每 个 连接 ,可 以 利用 
会 话 来 避免 对 新 的 安全 参数 进行 代价 昂贵 的 协商 。 


图 6.3 SSL 的 连接 与 会 话 


SSL 的 每 个 会 话 和 连接 都 包含 一 些 参数 ,会 话 和 连接 的 参数 分 别 如 表 6. 1 和 表 6. 2 所 示 : 


表 6.1 会 话 状态 参数 


a 
会 着 标 间作 由 服务 器 选择 的 任意 字 节 ,用 来 确定 活动 或 可 恢复 的 会 话 状态 
(session identifier) 

寸 答 裤 体 j 

网 人 全 对 等 实体 的 X. 509v3 证 书 。 该 状态 的 元 素 可 为 空 

(peer certificate) 

压缩 方法 


(compression method) 


压缩 数据 的 算法 优 于 加 密 算法 


加 密 规格 (cipher spec) 


指定 批量 数据 加 密 算法 和 用 于 MAC 计算 的 哈 希 算法 。 同 时 指定 


密码 属性 
主 控 密 钥 (master_secret) 由 客户 机 和 服务 器 共享 的 48 位 密码 
是 否 可 恢复 (is resumable) 用 来 确定 会 话 是 否 可 用 于 初始 化 新 连接 的 标志 


随机 字 


表 6.2 连接 状态 参数 
每 个 连接 中 ,服务 器 和 客户 机 选择 的 字 节 序列 


服务 器 写 MAC 密 钥 


Server_write MAC _secret, 用 于 对 服务 器 发 送 的 数据 计算 MAC 使 用 的 密 钥 


客户 机 写 MAC 密 钥 


Client_write _MAC _secret, 用 于 对 客户 机 发 送 数据 计算 MAC 使 用 的 密 钥 


服务 器 写 密 钥 Server_write_secret, 用 于 服务 器 对 数据 加 密 和 客户 端 对 数据 解密 的 对 称 密 钥 

客户 机 写 密 钥 Client_write_secret, 用 于 客户 机 对 数据 加 密 和 服务 器 对 数据 解密 的 对 称 密 钥 
当 使 用 CBC 模式 的 分 组 密 文 时 ,为 每 个 密 钥 维护 的 初始 化 向 量 。 该 字段 首先 被 

初始 化 向 量 IV SSL 握手 协议 初始 化 ,然后 每 个 记录 集 最 终 的 密 文 块 被 保留 下 来 作为 下 一 个 记 
录 的 IV 

序列 号 每 一 方 为 每 个 连接 的 传输 和 接收 报 文 维持 着 单独 的 序列 号 , 当 一 方 发 送 和 接收 


更 改 密码 规约 报 文 时 ,相应 的 序列 号 被 设置 为 0 
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6.1.3 SSL 握手 协议 


SSL 协议 中 ,客户 端 和 服务 器 首先 通过 握手 过 程 来 获得 密 钥 ,此 后 在 记录 集 协 议 中 使 
用 这 个 密 钥 来 加 密 客户 端 和 服务 器 间 的 通信 信息 。 握 手 过 程 首先 采用 非 对 称 加 密 的 方法 来 
交换 信息 ,使 得 服务 器 获得 客户 端 提供 的 对 称 加 密 的 密 钥 (pre_master_secret) ,然后 服务 器 
和 客户 端 使 用 这 个 pre_master_secret 来 产生 会 话 密 钥 。SSL 握手 协议 包括 以 下 三 个 阶段 。 
。 建立 安全 能 力 。 即 客户 端 和 服务 器 通过 hello 消息 协商 会 话 连接 的 参数 。 
。 客户 端 鉴别 和 密 钥 交换 。 即 服务 器 向 客户 端 发 送 服务 器 证 书后 ,客户 端 验证 服务 器 
证 书 , 通 过 验证 后 ,产生 pre_master_secret ,并 对 pre_master_secret 进行 加 密 , 然 后 
把 密 文 发 送 给 服务 器 。 随 后 ,客户 端 和 服务 器 均 使 用 这 个 pre_master_secret 来 产 
生 本 次 的 会 话 密 钥 master secret。 
。 握手 完成 。 即 客户 端 和 服务 器 都 向 对 方 发 送 finish 消息 ,标志 SSL 握手 完成 。 
下 面 分 别 描述 以 上 三 个 阶段 中 ,客户 端 和 服务 器 间 交 互 的 具体 步骤 和 使 用 的 握手 消息 。 


1. 建立 安全 能 力 
客户 端 和 浏览 器 通过 相互 发 送 hello 消息 ,统一 SSL 连接 中 的 参数 。 这 个 过 程 如 图 6. 4 
所 示 。 客 户 端 向 服务 器 发 送 Client Hello 消息 ,服务 器 向 客户 端 发 送 Server Hello 消息 。 


SSL 客 户 中 SSL 服 务 器 端 


[|] Client Hello 443 端 口 
[ Server Hello 443 端 口 
一 


图 6.4 建立 安全 能 力 


其 中 ,客户 端 给 服务 器 发 送 的 hello 消息 的 构成 如 表 6. 3 所 示 。 


2. 客户 端 鉴别 和 密 钥 交 换 

(1) 鉴别 消息 交换 

这 一 步 是 整个 握手 过 程 的 核心 。 在 上 一 步 服务 器 向 客户 端 回复 了 hello 消息 后 ,服务 
器 需要 给 客户 端 发 送 服务 器 证 书 , 客 户 端 收 到 证 书后 执行 服务 器 验证 。 服 务 器 证 书 是 服务 
器 从 CA 处 获得 的 ,用 于 证 明 服务 器 的 身份 。 这 一 步 ,服务 器 可 能 给 客户 端 发 送 如 下 4 条 消 
息 , 如 图 6.5 所 示 。 
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表 6.3 客户 端 hello 消息 的 组 成 
消息 内 容 描 述 
SSL 版 本 号 (SSL version) 客户 端 能 理解 的 最 高 版 本 号 ,通常 是 TLSvl 或 SSLv3 


用 于 识别 交换 密 钥 的 算法 ,可 使 用 的 密 钥 交 换算 法 包括 RSA 、Diffie- 


码 交 换 (k hange) 
密 换 (key exchange Hellman 和 Fortezza 等 


用 于 识别 客户 端 所 能 支持 的 加 密 算法 ,可 使 用 的 数据 加 密 算法 包括 


加 密 (dat ption) 
A dno RC2-40 .RC4-128 .DES.DES 40.3DES.IDEA 和 Fortezza 


1 于 消 完整 性 ,j ;用 SHA 或 者 法 来 计算 哈 
信息 摘要 (message digest) 用 于 保证 消息 的 完整 性 ,通常 使 用 SHA 或 者 MD5 算法 来 计算 


希 值 
数据 压缩 方法 (data compression) | 用 于 信息 交换 的 压缩 方法 ,可 使 用 PKZip 或 gzip 
随机 字 用 于 计算 密 钥 而 产生 的 随机 数 
SSL 客 户 端 SSL 服 务 器 端 


一 一 443 端 

RN Q 服务 器 的 证 书 消息 泊 
”443 端 口 
他 _。 加 客户 喘 证 书 请 求 消息 泊 


一 一 443 端 
@ 客户 端 证 书 消息 
一 
一 一 443 端 口 
@ server hello done 
一 


图 6.5 鉴别 消息 交换 过 程 


@ 服务 器 的 证 书 消息 (server certificate)。 其 中 包括 服务 器 的 标识 符 、.CA 私 钥 签名 、 
服务 器 公 钥 等 信息 ,如 图 6.6 所 示 。 

@ 客户 端 证 书 请 求 消息 (client certificate request)。 如 果 配 置 服务 器 的 SSL 需要 验证 
客户 端 身份 ,就 会 发 出 请 求 要 求 客户 端 提 供用 户 证 书 (client certificate request); 客户 端 证 
书 请 求 消息 包括 识别 公共 密 钥 的 证 书 类 型 ,服务 器 能 够 接受 的 是 一 系列 证 书 认证 机 构 的 
名 字 。 

@ 客户 端 证 书 消息 (client certificate)。 客 户 端 向 服务 器 发 送 其 公 钥 证 书 。 

@ server hello done 消息 。 服 务 器 向 客户 端 发 送 该 消息 ,表示 握手 过 程 结 束 ,该 消息 没 
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有 参数 。 
(2) 证 书 验证 过 程 
在 客户 端 收 到 服务 器 证 书后 ,首先 需要 通过 验证 服务 器 证 书 来 验证 服务 器 是 否 可 信任 。 
以 下 描述 客户 端 验证 服务 器 证 书 的 详细 过 程 ,如 图 6.6 所 示 。 


有 客户 端 信任 的 CA 列表 
服务 器 公 角 
名 服务 器 证 书 是 否 过 期 ? 
a @ 证 书 和 颁发 机 构 是 否 可 信 ? 
证 书 有 效 期 We 
服务 器 端 DN 加 服务 器 证 书 中 的 CA 签名 
RE 发 布 者 公 铀 
@ 服务 器 的 证 书 上 的 域 “| 证 书 发 布 才 风 | 
证 书 发 布 者 的 多 证 生生 二 志和 eh 
数字 签名 相符 ? 9 


图 6.6 客户 端 验 证 服务 器 证 书 


@ 客户 端 检查 服务 器 端 证 书 是 否 过 期 。 如 果 证 书 过 期 ,验证 程序 中 止 ; 否则 ,进入 第 
三 类。 

@ 验证 证 书 颁发 机 构 是 否 可 人 和信。 每 个 使 用 SSL 的 客户 端 都 有 一 组 可 信 CA。 根据 这 
个 可 信 CA 列表 ,客户 端 进一步 判断 服务 器 是 否 可 信 。 若 证 书 颁发 机 构 的 标识 名 
(distinguished name, DN) 与 客户 端的 可 信和 列表 相符 . 则 执行 第 三 步 。 

@ 验证 服务 器 证 书 中 的 CA 签名 。 客 户 端 使 用 CA 的 公 钥 (CA 的 公 钥 可 以 从 客户 端 
已 存 的 可 信 CA 列表 中 获得 ) 来 验证 它 的 数字 签名 的 真 伪 , 即 对 服务 器 证 书 中 的 CA 的 私 钥 
签名 进行 验证 。 若 服务 器 证 书 内 容 上 有 改变 或 签名 验证 失败 ,客户 端 就 不 能 通过 对 服务 器 
端的 身份 鉴别 ,验证 程序 终止 。 如 果 CA 的 签名 为 真 就 转 到 第 四 步 。 

@ 验证 服务 器 的 证 书 上 的 域名 是 否 与 其 真实 域名 相符 。 

这 一 步 用 来 确定 服务 器 真正 位 于 它 所 在 的 网 络 地 址 。 从 技术 角度 讲 , 虽 然 第 四 步 不 属 
于 SSL 协议 ,但 它 可 抵御 类 似 “ 中 间 人 攻击 ”的 网 络 威胁 。 客 户 端 执行 这 一 步 可 以 拒绝 在 服 
务 器 或 域名 不 符 时 建立 连接 。 如 果 相 符 , 则 服务 器 验证 完成 。 

通过 了 服务 器 验证 后 ,客户 端 和 服务 器 开始 进行 密 钥 协商 。 


(3) 密 钥 交 换 
服务 器 证 书 通过 客户 端 验证 后 ,进入 密 钥 协商 阶段 ， 通信 双方 按 如 下 步骤 执行 协议 。 
客户 端 产 生 一 系列 伪 随 机 数 作为 pre_master_secret。 这 这 不 pre_master_secret 将 用 


来 产生 服务 器 和 客户 端 之 间 的 会 话 密 钥 。 
@ 客户 端 使 用 服务 器 证 书 中 的 服务 器 公 钥 加 密 pre_master_secret, 并 且 把 这 个 加 密 后 的 
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pre_master_secret 通过 Client Key Exchange 消息 发 送 给 服务 器 端 ( 如 图 6.8 和 表 6.4 所 示 )。 

@ 服务 器 和 客户 端 使 用 事先 协商 好 的 算法 ,以 pre_master_secret 作为 输入 参数 之 一 ， 

进行 密 钥 计算 ,产生 加 密使 用 的 各 种 密 钥 对 。 

在 第 三 步 中 ,客户 端 和 服务 器 均 使 用 pre_master_secret 产生 三 对 密 钥 (对 称 密 钥 ), 这 

三 对 密 钥 用 于 服务 器 和 客户 端 加 密 和 鉴别 通信 数据 时 使 用 。 这 三 对 密 钥 分 别 如 下 。 

。 Client_write_secret 和 Server_write_secret。 其 中 ,Client_write_secret 是 客户 端 对 
数据 加 密 以 及 服务 器 对 数据 解密 时 所 用 的 密 钥 ,而 Server_write_secret 是 服务 器 对 
数据 加 密 以 及 客户 端 对 数据 解密 时 所 用 的 密 钥 。 

。 Client_write MAC _secret 和 Server_write_ MAC_secret。 用 于 客户 端 和 服务 器 计 
算 消 息 摘要 时 使 用 。 其 中 ,Client_write_MAC_secret 用 于 客户 端 计算 消息 摘要 和 
服务 器 对 数据 完整 性 进行 验证 ,Server_write_MAC_secret 是 服务 器 计算 消息 摘要 
以 及 客户 端 进行 数据 完整 性 验证 时 所 用 的 密 钥 。 

。 Client write IV 和 Server write IV。 用 来 计算 初始 化 向 量 IV(Initialization Vector) 。 

客户 端 和 服务 器 端 都 基于 pre_master_secret 和 hello 消息 中 协商 好 的 加 密 算法 生成 这 
三 对 密 钥 。 
SSL 握手 过 程 中 密 钥 产生 的 关系 如 图 6.7 所 示 。 


Pre_master_secret 一 一 Master_secret 


Client_write MAC secret Server_write MAC secret 


Client_write_secret Server_write_secret 
Client_write_ TV Server_write_IV 
图 6.7 各 种 密 钥 


3. 握手 完成 


客户 端 和 服务 器 端 都 产生 了 用 于 会 话 的 对 称 密 钥 后 ,他 们 通过 发 送 finished 消息 标志 
握手 过 程 结束 。 如 图 6. 8 所 示 ,客户 端 和 服务 器 都 先后 向 对 方 发 送 finished 消息 ,该 消息 
中 ,客户 端 使 用 刚 产生 的 共享 密 钥 (client_write_secret) 加 密 消息 来 鉴别 对 方 。 这 个 消息 使 
得 双方 都 确认 安全 的 连接 已 经 建立 。 

以 上 描述 的 整个 握手 过 程 中 的 各 种 消息 如 图 6. 8 所 示 。 

可 以 看 到 ,客户 端 和 服务 器 通过 hello 消息 统一 SSL 中 的 一 些 参 数 , 然 后 服务 器 端 向 客 
户 端 发 送 服务 器 证 书 。 客 户 端 对 服务 器 证 书 的 验证 通过 后 ,产生 并 加 密 发 送 pre_master_ 
secret 到 服务 器 端 ,然后 双方 都 使 用 这 个 pre_master_secret 产生 各 种 会 话 过 程 中 用 于 加 密 
交互 信息 的 对 称 密 钥 。 

握手 消息 的 格式 如 图 6.9 所 示 。 
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版 本 ， 
密码 参数 ， 压缩 方法 


随机 数 ， 会 话 id， 


Pre_Master_Secret 


版 本 ， 随 机 数 ， 会 话 id， 
密码 参数 ， 压 缩 方 法 


服务 器 X.509.v3 证 书 链 


ServerKey Exchange 消 息 
服务 器 要 求 客 户 端 认 证 


Server 响应 完毕 


Master_Secret 


客户 端 认证 
Client Key Exchange 消 息 | 
(pre_master_secret) 签 名 


Server_ Write Key 
服务 器 端 写 密码 


交换 Cipher Spec 


完 


交换 Clipher Spec 


完毕 


应 用 数据 


图 6.8 SSL 握手 过 程 


服务 器 认证 


Master_Secret 


主 控 密 钥 


Client_Write Key 
客户 蹦 写 密码 


Server_Write_ Key 
服务 器 端 写 密码 


内 容 


图 6.9 SSL 握手 协议 报 文 格式 


表 6.4 中 列 出 了 消息 类 型 及 其 参数 和 描述 
表 6.4 ”SSL 握手 协议 报 文 消息 描述 


199 


消 息 参 数 述 
Hello_request Null 启动 握手 协议 
Client_hello 版 本 、 随 机 数 、 会 话 人 DD、 密码 参 | 启动 SSL 会 话 ,消息 中 标识 密码 和 压缩 方法 
Server_hello 数 .压缩 方法 列表 
Server certificate X. 509v3 证 书 链 服务 器 向 客户 端 发 送 请 求 验证 的 消息 
Server_key_exchange | 参数 ,签名 密 钥 交换 
Certificate_request 类 型 ,CAs 服务 器 要 求 对 客户 端 认 证 
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续 表 
消 息 参 数 描 述 
Server_done Null 指示 服务 器 的 hello 消息 发 送 完 毕 
Certificate_verify 签名 对 客户 证 书 进行 验证 
Client_key_exchange pre_master_secret, 签 名 密 钥 交 换 
finished Hash 值 标志 密 钥 交换 和 鉴别 过 程 成 功 


6.1.4 SSL 记录 集 协议 


SSL 记录 集 协 议 提 供 的 服务 包括 消息 的 机 密 性 和 完整 性 等 。 首 先 , 由 于 握手 协议 定义 
了 共享 的 可 用 于 对 SSL 有 效 载荷 进行 常规 加 密 的 密 钥 及 初始 /后 续 的 IV, 对 压缩 的 数据 和 
数据 摘要 进行 了 加 密 ,客户 端 和 服务 器 在 通信 过 程 中 的 数据 都 是 密 文 , 这 就 保证 了 数据 的 机 
密 性 ; 另外 ,通过 握手 协议 定义 了 共享 的 .可 用 于 生成 报 文 (migration authorisation code， 
MAC) 的 密 钥 ,对 压缩 数据 计算 了 消息 摘要 。 接 收 方 在 收 到 数据 后 ,使 用 共享 密 钥 进行 密 文 
解密 后 ,然后 使 用 它 的 MAC 密 钥 计算 压缩 数据 的 消息 摘要 MAC 值 ,将 其 和 附加 在 SSL 记 
录 集 中 的 MAC 值 进行 比 对 ,如 果 相 等 , 则 说 明 压 缩 数据 在 传输 过 程 中 没有 被 修改 过 ,这 就 
保证 了 数据 的 完整 性 。 

在 SSL 协议 中 ,所 有 的 传输 数据 都 被 封装 在 记录 集 协议 中 。 记 录 集 报 文 由 记录 头 和 长 
度 不 为 零 的 记录 集 数据 组 成 。SSL 记录 集 协 议 包括 对 记录 头 和 记录 数据 格式 的 规定 。 

通过 SSL 握手 协议 获得 的 会 话 密 钥 将 用 于 加 密 服务 器 和 客户 端 在 记录 集中 交互 的 数据 。 

如 图 6. 10 所 示 ,记录 集 协议 对 原始 数据 的 加 密 过 程 如 下 。 


应 用 层 数 据 |. abcdefghi 
| Da 一 分 组 重组 
记录 集 数据 df | i 
| 1 一 -十 一 压缩 
压缩 后 的 
笋 筑 旱 1 
| 入 一 -十 - 加 密 
1 
加 密 包 全 
T 二 -二 人 给 
TCP 报 文 


图 6. 10 对 数据 进行 加 密 


Q@ 把 来 自 上 层 协议 的 数据 进行 分 组 。 


@ 对 每 个 分 组 进行 压缩 ,形成 压缩 数据 。 
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@ 发 送 端 根据 压缩 数据 和 其 MAC secret 密 钥 计算 压缩 数据 的 消息 摘要 。 
@ 发 送 端 把 发 送 的 压缩 数据 和 消息 摘要 一 起 使 用 其 Write secret 加 密 。 

@ 在 密 文 上 增加 SSL 记录 头 。 
通过 以 上 过 程 即 把 原始 数据 加 密 为 SSL 协议 的 记录 集 ,其 中 可 选择 的 加 密 算法 如 表 6. 5 


所 示 。 
表 6.5 SSL 记录 集 协 议 使 用 的 加 密 算法 
块 密码 算法 流 密码 算法 块 密 码 算法 流 密码 算法 
IDEA(128) RC-40(40) DES 
RC2-40(40) RC4-128(128) DES 3 
DES-40 Fortezza 


如 果 采 用 CBC(cipher block chaining) 模 式 加 密 , 那 么 加 密 算法 由 会 话 状 态 中 的 Cipher 
spec 参数 决定 。CBC 模式 是 指 一 个 明文 分 组 在 被 加 密 之 前 要 与 前 一 个 的 密 文 分 组 进行 异 
或 运算 。 当 加 密 算法 用 于 此 模式 的 时 候 除 密 钥 外 ,还 需 协 商 一 个 初始 化 向 量 (initialization 
vector,IV) ,这 个 IV 在 第 一 次 计算 的 时 候 需 要 用 到 。 

图 6.11 给 出 了 SSL 记录 集 协 议 的 报 文 格式 ,其 中 : 

。 内 容 类 型 为 8 位 ,说 明了 上 层 协议 类 型 。 

。 主 次 版 本 号 分 别 是 16 位 。 

。 压缩 长 度 占 16 位 ,表示 压缩 后 的 数据 字 节 数 。 

。 压缩 明文 和 MAC 消息 摘要 是 被 加 密 了 的 密 文 。 


内 容 类 型 


主 版 本 号 次 版 本 号 
被 压缩 (可 选 ) 的 明文 
MAC(0,16 or 20 字 节 ) 


图 6.11 SSL 记录 集 格式 


压缩 长 度 


6. 


一 


.5 SSL 密码 计算 


共享 主 密 钥 (master_secret) 由 客户 机 和 服务 器 共享 ,是 通过 pre_master_secret( 也 称 作 
次 密 钥 ) 生 成 的 临时 48 字 节 值 。 

从 6.1.3 节 的 握手 过 程 可 知 ,master_secret 分 两 个 步骤 生成 。 首 先 通过 握手 过 程 交换 
pre_master_secret ,然后 双方 再 根据 pre_master_secret 来 计算 master_secret。 

pre_master_secret 交换 方法 可 以 采用 RSA 或 Diffie-Hellman 算法 : 

。 在 RSA 算法 中 ,由 客户 端 生 成 48 字 节 的 次 密 钥 ,并 用 服务 器 的 RSA 公 钥 加 密 后 发 
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送 到 服务 器 ,服务 器 用 其 私 钥 解密 ,得 到 pre_master_secret。 


。 在 Diffie-Hellman 算法 中 ,客户 端 和 服务 器 同时 生成 Diffie-Hellman 公 钥 , 密 钥 交换 


后 双方 执行 Diffie-Hellman 计算 ,创建 共享 次 密 钥 pre_master_secret。 


得 到 pre_master_secret 后 ,交互 双方 分 别 按 如 下 方法 计算 master_secret。 


master_Secret = 


MD5(pre_master_secret SHA('A' + pre master secret + 


ClientHello. random ServerHello. random) ) + 


ClientHello. random ServerHello. random) ) + 


MD5(pre_master secret 


+ 
+ 

MD5(pre_master secret + SHA('BB' + pre master secret + 
+ 
+ SHA('CCC' + pre master secret + 
+ 


ClientHello. random ServerHello. random) ); 


其 中 ,clientHello. random 和 ServerHello. random 是 握手 协议 中 hello 消息 中 的 两 个 临 
时 交换 值 。master_secret 计算 完毕 后 ,服务 器 和 客户 端 把 各 自 的 pre_master_secret 删除 。 

计算 得 到 master_secret( 主 密 钥 ) 后 ,还 需要 创建 其 他 密码 参数 。CipherSpec (密码 参 
数 ) 用 于 指定 加 密 SSL 记录 集 和 验证 SSL 记录 和 集 完整 性 的 所 采用 的 算法 。 典 型 的 方法 是 使 
用 DES 算法 加 密 数据 和 使 用 MD5 来 计算 消息 摘要 。 

Master_secret 被 哈 希 算法 变换 成 一 系列 字 节 ,然后 被 分 配 为 MAC secret( 验 证 完整 性 
的 MAC 密 钥 ) .write secret( 加 密 密 钥 ) 和 write IV 三 类 密 钥 。 这 些 密 钥 是 当前 需要 的 密码 
参数 (CipherSpec) 。 

这 三 类 密 钥 的 产生 需要 以 master_secret,ClentHello. random,ServerHello. random 为 
输入 ,产生 的 过 程 分 为 如 下 两 步 。 

@ 采用 如 下 的 公式 计算 key_block .一 直到 输出 的 key_block 满足 要 求 。 


key_block = 


MD5(master_ secret + SHA('A' + master secret + 
ServerHello. random + ClientHello. random) ) + 

MD5(master_secret + SHA('BB' + master secret 十 
ServerHello. random + ClientHello.random))+ 

MD5(master secret + SHA('CCC' + master secret + 
ServerHello. random + ClientHello. random))+ [...|; 


@ 获得 key_block 后 ,这 个 key_block 被 分 解 为 各 个 密 钥 ,如 下 所 示 。 


client_write MAC_ secret[ CipherSpec. hash_size] 
server_write MAC secret[CipherSpec. hash_size] 
client_write_key[ CipherSpec. key_material | 
server_ write_ key[ CipherSpec. key_material] 
client_write_IV[CipherSpec. IV_size| 
server_write_IV[CipherSpec. IV_size| 
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6.1.6 SSL 协议 的 应 用 


1. HTTPS 


SSL 现 已 成 为 网 络 用 来 鉴别 网 站 和 网 页 浏览 者 身份 ,以 及 在 浏览 器 使 用 者 和 Web 服务 
器 之 间 进 行 鉴别 和 加 密 通信 普遍 使 用 的 技术 。 例 如 ,我 们 登录 一 些 银行 等 安全 要 求 比较 高 
的 网 站 时 ,经常 可 以 看 到 HTTPS 开头 的 Web 地 址 ,简单 地 说 , 它 是 HTTP 的 安全 版 本 , 即 
HTTP Over SSL。HTTPS 使 用 SSL 进行 信息 交换 ,使 得 所 有 的 HTTP 数据 在 传输 过 程 
中 都 是 加 密 的 。 

当 使 用 基于 SSL/TLS( 通 常 使 用 https:// URL) 向 站 点 进行 HTTP 请 求 时 ,从 服务 器 
向 客户 机 发 送 一 个 证 书 。 浏 览 器 使 用 已 安装 的 公共 证 书 来 验证 服务 器 的 身份 。 身 份 鉴别 通 
过 后 ,浏览 器 和 服务 器 之 间 使 用 握手 协议 交换 密 钥 。 


2. SSL VPN 


随 着 Web 应 用 的 增多 以 及 远程 接 入 需求 的 增长 ,SSL VPN 被 广泛 使 用 。 虚 拟 专用 网 
VPN 主要 应 用 于 虚拟 连接 网 络 , 它 可 以 确保 数据 的 机 密 性 并 且 具 有 一 定 的 访问 控制 功能 。 
VPN 可 以 扩展 企业 的 内 部 网 络 ,允许 企业 的 员工 、 客 户 以 及 合作 伙伴 利用 Internet 访问 企 
业 网 ,而 成 本 远 远 低 于 传统 的 专线 接 入 。 过 去 ,VPN 总 是 和 IPSec 联系 在 一 起 ,因为 它 是 
VPN 加 密 信息 实际 用 到 的 协议 。IPSec 运行 于 网 络 层 ,IPSec VPN 多 用 于 连接 两 个 网 络 或 
点 到 点 之 间 的 连接 。 

SSL VPN 指 的 是 使 用 者 利用 浏览 器 内 建 的 SSL 包 处 理 功能 ,用 浏览 器 连接 公司 内 部 
SSL VPN 服务 器 ,让 使 用 者 可 以 在 远程 计算 机 执行 应 用 程序 , 读 取 公司 内 部 服务 器 的 数据 。 
它 采用 标准 的 安全 套 接 层 SSL 对 传输 中 的 数据 包 进行 加 密 和 鉴别 ,从 而 在 应 用 层 保护 了 数 
据 的 安全 性 。 

SSL VPN 一 般 的 实现 方式 是 在 企业 的 防火 墙 后 放置 一 个 SSL 代理 服务 器 。 如 果 用 户 
希望 安全 地 连接 到 公司 网 络 上 ,那么 当 用 户 在 浏览 器 上 输入 一 个 URL 后 ,连接 首先 被 SSL 
代理 服务 器 处 理 , 验 证 用 户 的 身份 ,然后 SSL 代理 服务 器 将 提供 远程 用 户 与 各 种 不 同 应 用 
服务 器 之 间 的 连接 。 

高 质量 的 SSL VPN 解决 方案 可 保证 企业 进行 安全 的 全 局 访问 。 在 不 断 扩 展 的 互联 网 
Web 站 点 之 间 、 和 远程 办 公 室 \ 传 统 交易 大 厅 和 客户 端 之 间 ,SSL VPN 克服 了 IPSec VPN 的 
不 足 ,进一步 保障 访问 安全 ,使 得 用 户 可 以 轻松 实现 安全 易 用 、 无 须 客户 端 安 装 且 配置 简单 
的 远程 访问 。 


3. Open SSL 
OpenSSL 是 一 个 开放 源 代码 的 、 实 现 了 SSL 及 相关 加 密 技 术 的 软件 包 , 由 加 拿 大 的 


164 计算 机 网 络 安全 一 一 协议 .技术 与 应 用 


Eric Yang 等 发 起 编写 。OpenSSL 是 一 个 开源 工具 箱 , 在 其 上 可 以 开发 安全 的 套 接 字 通信 
程序 。 使 用 OpenSSL 的 API, 可 以 实现 消息 摘要 、 文 件 的 加 密 和 解密 、 数 字 证 书 、 数 字 签 名 
等 功能 。 此 外 , 它 还 提供 一 个 命令 行 工具 。 命 令 行 工 具 可 以 完成 与 API 同样 的 工作 ,而 且 
更 进一步 ,可 以 测试 SSL 服务 器 和 客户 机 。 

使 用 OpenSSL API 进行 安全 编程 ,首先 需要 下 载 其 源 代码 ,也 可 以 下 载 二 进 制 包 。 
OpenSSL 的 官方 网 站 为 http://www. openssl. org/ , 源 代码 可 以 从 ftp://ftp. openssl. org/ 
source/ 上 下 载 。 此 外 ,有 的 Linux 发 行 版 本 中 也 附带 了 OpenSSL 的 二 进 制版 本 。 


6.2 SSH 协议 


6.2.1 SSH 概述 


SSH(secure shell) 是 IETF 的 网 络 工作 组 制定 的 一 族 协 议 , 其 目的 是 要 在 非 安 全 网 络 
上 提供 安全 的 远程 登录 和 其 他 安全 网 络 服务 。 

类 似 于 SSL,SSH 也 是 建立 在 应 用 层 和 传输 层 基 础 上 的 安全 协议 。 和 SSL 不 同 ,SSH 
主要 解决 的 是 密码 在 网 络 上 明文 传输 的 问题 ,因此 通常 用 来 蔡 代 TELNET、FTP 等 协议 。 

传统 的 Telnet、FTP 和 Rlogin 等 服务 存在 众多 安全 缺陷 ,例如 使 用 弱 密 码 单一 认证 机 
制 ; 传输 数据 (包括 账号 和 密码 ) 为 明文 ,容易 被 窃取 、 自 改 和 重 放 ; 这 些 服务 的 安全 验证 
机 制 容易 引发 各 种 欺骗 ,比如 中 间 人 攻击 等 。 为 了 克服 这 些 安全 缺陷 ,SSH 协议 被 设计 
出 来 。 

SSH 使 用 多 种 加 密 方式 和 认证 方式 ,解决 了 以 上 传统 服务 的 数据 加 密 、 身 份 认证 问题 。 
SSH 成 熟 的 公 钥 / 私 钥 体 系 ,为 客户 端 和 服务 端 之 间 的 会 话 提供 加 密 通道 ,解决 了 数据 ( 包 
括 密码 ) 在 网 络 上 明文 传输 的 不 安全 问题 。SSH 还 支持 CA smart 卡 等 多 种 认证 方式 , 解 
决 了 身份 认证 问题 ,可 抵御 重 放 攻击 和 中 间 人 攻击 。 

SSH 的 “加 密 通道 ?是 通过 端口 转发 实现 的 。 可 以 在 本 地 没有 使 用 的 端口 和 在 远程 服 
务 器 上 运行 的 某 个 服务 的 端口 之 间 建 立 “ 加 密 通 道 "。 然 后 只 要 连接 到 本 地 端口 ,所 有 对 本 
地 端口 的 请 求 都 被 SSH 加 密 并 且 转 发 到 远程 服务 器 的 端口 。 

SSH 协议 主要 由 传输 层 协议 (the transport layer protocol)、 用户 认证 协议 (user 
authentication protocol) 和 连接 协议 (the connection protocol) 组 成 ,共同 实现 SSH 的 安全 
保密 机 制 。 在 SSH 的 协议 框架 中 ,传输 层 协议 提供 服务 器 认证 ,数据 机 密 性 ,消息 完整 性 服 
务 等 的 支持 ; 用 户 认 证 协议 为 服务 器 提供 对 客户 端的 身份 鉴别 ; 连接 协议 将 加 密 的 信息 隧 
道 复 用 成 若干 个 逻辑 通道 ,提供 给 高 层 的 应 用 层 协议 使 用 。 各 种 应 用 层 协议 可 独立 于 SSH 
基本 体系 之 外 ,依靠 这 个 基本 框架 ,通过 连接 协议 使 用 SSH 的 安全 机 制 。 

为 了 满足 扩展 性 的 要 求 ,协议 规范 了 所 采用 的 密码 算法 、 密 钥 协 商 方式 和 认证 方式 等 的 
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命名 规则 ,并 统一 协议 中 消息 的 格式 。 协 议 也 允许 在 各 个 方向 上 充分 协商 加 密 、 完 整 性 、 密 
钥 交 换 、 压 缩 及 公 钥 算法 和 格式 等 。 新 的 算法 、 扩 展 协议 等 可 以 自由 地 添加 ,只 要 它们 符合 
协议 规定 的 命名 规则 以 及 消息 格式 。 


6.2.2 SSH 协议 体系 结构 


SSH 协议 从 几 个 不 同 角度 强化 通信 的 完整 性 。 如 前 所 述 ,SSH 协议 主要 由 SSH 传输 
层 协 议 .SSH 用 户 认 证 协议 和 SSH 连接 协议 三 个 


组 件 组 成 。 每 层 提供 不 同类 型 的 安全 保护 ,并 且 可 
以 与 其 他 方式 一 起 使 用 , 其 协议 结构 如 图 6. 12 
所 示 。 传输 层 协议 
服务 器 认证 | 数据 机 密 性 | 数据 完整 性 
SSH 传输 层 协议 提供 数据 通信 加 密 人 处理、 加密 图 6.12 SSH 协议 构成 


的 主机 身份 认证 ,数据 完整 性 校 验 以 及 数据 压缩 等 
多 项 安全 服务 。 双 方 通信 和 所 需要 的 密 钥 交换 方式 . 公 钥 密码 算法 、 对称 密 钥 密码 算法 、 消 息 
认证 算法 和 哈 希 算法 等 都 可 以 进行 协商 。 传 输 层 协议 的 主要 目标 是 实现 两 台 主 机 间 认 证 时 
和 认证 后 安全 和 保密 的 通信 ,通常 运行 于 TCP/IP 之 上 。 

SSH 传输 层 协 议 中 的 认证 是 基于 主机 的 ,并 不 涉及 客户 端 用 户 的 身份 认证 ,传输 层 产 
生 了 密码 认证 和 其 他 服务 需要 的 秘密 数据 。 用 户 认 证 可 以 通过 基于 该 协议 之 上 .单独 设计 
的 协议 来 完成 。 这 样 , 既 保证 了 通信 的 安全 性 ,又 提供 了 协议 的 灵活 性 和 扩展 性 。 


2. SSH 用 户 认证 协议 

在 传输 层 构建 了 一 个 安全 隧道 以 在 两 个 系统 间 传 送信 息 后 ,服务 器 将 告诉 客户 机 它 所 
支持 的 认证 算法 ,客户 机 将 用 服务 器 支持 的 算法 向 服务 器 证 明 自 己 的 身份 。 认 证 由 服务 器 
主导 ,客户 端 可 以 根据 服务 器 提供 的 方法 进行 选择 ,这 样 一 方面 使 服务 器 对 认证 有 完全 的 控 
制 权 ,同时 也 给 客户 端 足够 的 灵活 度 。 主 要 包括 以 下 几 种 用 户 认证 方式 。 

。 公 钥 认证 方式 : 是 SSH 协议 唯一 要 求 的 必须 提供 的 认证 方法 。 在 这 种 方式 中 ,用 户 
用 私 钥 来 表明 自己 的 身份 。 简 单 说 ,就 是 用 户 向 服务 器 发 送 一 个 用 自己 私 钥 处 理 过 
的 数字 签名 ,服务 器 首先 检查 该 用 户 的 私 钥 是 否 可 以 作为 一 个 有 效 的 认证 凭证 ( 通 
过 检查 本 地 数据 库 中 是 否 存 有 与 之 对 应 的 公 钥 ) ,然后 检查 该 签名 的 有 效 性 ,如 果 两 
个 条 件 都 满足 ,用 户 的 认证 请 求 就 可 以 被 接受 ,否则 认证 失败 。 
密码 认证 : 所 有 的 应 用 都 应 该 支持 由 服务 器 确定 怎样 编译 密码 及 根据 密码 数据 库 
验证 密码 。 在 此 过 程 中 ,客户 机 和 服务 器 都 应 该 检验 传输 层 所 提供 的 机 密 性 。 如 果 
没有 提供 加 密 ,密码 认证 不 能 完成 : 如 果 没 有 机 密 性 或 MAC, 则 不 能 改变 密码 。 
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。 基于 主机 的 认证 : 根据 用 户 来 自 的 主机 及 远 端 主机 上 的 用 户 名 来 认证 。 这 种 方式 
不 适用 于 安全 性 要 求 较 高 的 站 点 。 另 外 ,可 以 混合 使 用 几 种 不 同 认证 特征 的 用 户 认 
证 方法 。 由 服务 器 的 本 地 策略 决定 使 用 哪 一 种 方式 (或 混合 方式 )。 采 用 多 种 认证 
时 ,认证 强度 取决 于 最 弱 的 认证 方式 。 


3. SSH 连接 层 协 议 

SSH 连接 层 协议 主要 的 功能 是 完成 用 户 请 求 的 各 种 网 路 服务 ,而 这 些 服 务 的 安全 性 是 
由 底层 的 SSH 传输 层 协议 和 用 户 认证 层 协议 实现 的 。 在 SSH 传输 层 成 功 认 证 后 ,多 个 信 
道 通过 复 用 到 两 个 系统 间 的 单个 连接 上 而 打开 。 每 个 信道 处 理 不 同 的 终端 会 话 。 

客户 基于 服务 器 可 以 建立 新 的 信道 ,每 个 信道 在 每 一 端 被 编排 给 不 同 的 号 码 。 在 一 方 
试图 打开 一 个 新 的 信道 时 ,该 信道 在 该 端的 号 码 随 请 求 一 起 传送 ,并 被 对 方 存储 ,以 用 于 指 
示 特 定 类 型 业务 的 通信 给 该 信道 。 这 样 可 以 使 不 同类 型 的 会 话 不 会 彼此 影响 ,而 在 关闭 信 
道 时 也 不 会 影响 系统 间 建 立 的 初始 SSH 连接 。 


6.2.3 SSH 协议 分 析 


SSH 协议 的 主要 目的 是 提高 网 络 应 用 的 安全 性 ,以 容易 部 署 和 使 用 为 原则 来 实现 这 个 
目标 ,而 以 牺牲 一 些 绝对 安全 作为 代价 。 其 特点 如 下 。 

。 所 有 的 数据 加 密 、 身 份 认证 ,完整 性 校 验 及 公 钥 算法 均 采用 一 些 相 对 成 熟 ,经 过 时 间 

检验 上 且 被 人 们 广泛 使 用 的 算法 。 

。 所 有 的 算法 都 选用 目前 普遍 认为 安全 的 密 钥 长 度 , 在 相当 长 的 一 段 时 期 内 能 够 抵御 
密码 分 析 。 
所 有 的 算法 都 是 可 以 协商 的 ,这 样 即使 某 种 算法 被 攻破 ,也 可 以 很 容易 地 切换 到 另 
外 一 种 算法 而 不 用 更 改 整个 基础 协议 。 


1. 消息 及 消息 编号 
因为 引入 了 新 的 协议 包头 、 填 充 项 以 及 完整 性 校 验 码 ， 人 
了 。 这 种 增加 量 对 于 大 尺寸 的 数据 包 来 说 几乎 可 以 忽略 ,但 是 对 于 像 Telnet 那样 的 单字 
交互 会 话 来 说 ,这 种 开销 就 显得 很 不 合适 。 
在 连接 层 建立 起 来 的 逻辑 信道 中 ,每 个 信道 上 允许 的 最 大 数据 包 长 度 也 是 可 以 协商 的 。 
SSH 数据 包 格式 如 图 6. 13 所 示 。 


包 长 度 填充 域 长 度 有 效 负荷 随机 十 
packet_length padding_length payload random padding 


MAC 


图 6.13 SSH 协议 数据 包 格式 
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SSH 协议 中 包括 如 下 字段 。 

(1) 包 长 度 。 不 包括 消息 认证 代码 和 本 身 。 

(2) 填充 域 长 度 。 

(3) 有 效 负 荷 。 如 果 压 缩 选项 被 选中 ,该 部 分 将 被 压缩 处 理 ; 长 度 为 包 长 度 一 填充 域 
长 度 一 1。 

(4) 随机 填充 域 。 用 于 保证 包 长 度 .填充 域 长 度 ` 有 效 负荷 及 填充 域 的 总 和 为 密码 分 组 
长 度 或 者 8 的 整数 倍 ( 取 较 大 的 数值 ) 。 

(5) 消息 认证 代码 MAC。 如 果 双 方 协商 了 消息 认证 ,该 部 分 就 是 消息 认证 码 。 

SSH 的 消息 编号 从 1~~ 255 ,分配 如 下 。 

Q 传输 层 协议 。 

。 1 一 19: 传输 层 常用 消息 (如 断 开 、 忽 略 和 调试 等 ) 。 

。 20 一 29: 算法 协商 消息 。 

。 30 一 49: 与 密 钥 交换 方法 相关 的 消息 (不 同 的 认证 方式 可 能 会 重用 ) 。 

@ 用 户 认 证 协议 。 

。 50 一 59: 用 户 认证 常用 消息 。 

。 60 一 79: 与 用 户 认 证 方法 相关 的 消息 (不 同 的 认证 方法 可 能 会 重用 )。 

@ 连接 协议 。 

。 80 一 89: 连接 层 常用 消息 。 

。 90 一 127: 信道 相关 消息 。 

。 128 一 191: 为 客户 协议 保留 。 

。 192 一 255: 本 地 扩展 用 。 


2. 主机 密 钥 机 制 


对 于 SSH 这 样 以 提供 安全 通信 为 目标 的 协议 ,一 套 完 备 的 密 钥 机 制 必 不 可 少 。 由 于 
SSH 协议 是 面向 互联 网 中 主机 之 间 的 互 访 与 信息 交换 的 ,因此 主机 密 钥 成 为 基本 的 密 钥 机 
制 。 也 就 是 说 ,SSH 协议 要 求 每 一 个 使 用 本 协议 的 主机 都 必须 至 少 有 一 个 自己 的 主机 密 钥 
对 ,在 服务 器 端 通过 对 客户 端 主机 密 钥 的 认证 之 后 ,才能 允许 其 连接 请 求 。 一 个 主机 可 以 使 
用 多 个 密 钥 ,针对 不 同 的 密 钥 算法 而 拥有 不 同 的 密 钥 ,但 是 至 少 有 一 种 是 必 备 的 , 即 通过 
DSS 算法 产生 的 密 钥 。 

每 一 个 主机 都 必须 拥有 自己 的 主机 密 钥 , 密 钥 可 以 有 多 对 ,每 一 对 主机 密 钥 对 包括 公开 
密 钥 和 私有 密 钥 。 在 实际 应 用 过 程 中 怎样 使 用 这 些 密 钥 ,并 依赖 它们 来 实现 安全 特性 呢 ? 
如 图 6. 14 所 示 ,SSH 协议 框架 中 提出 了 两 种 方案 。 

@ 主机 将 自己 的 公用 密 钥 分 发 给 相关 的 客户 机 ,客户 机 在 访问 主机 时 则 使 用 该 主机 的 
公开 密 钥 来 加 密 数 据 , 主 机 则 使 用 自己 的 私有 密 钥 来 解密 数据 ,从 而 实现 主机 密 钥 认证 , 确 
定 客户 机 的 可 靠 身 份 。 从 图 6. 14(a) 中 可 以 看 到 ,用 户 从 主机 A 上 发 起 操作 ,去 访问 主机 B 
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(a) 方案 一 


密 钥 认证 中 心 


认证 请 求 


| 主机 A 主机 B 主机 C 
认证 中 心 的 | 认证 中 心 的 | | 认证 中 心 的 
公开 窗 钥 公开 密 钥 公开 密 钥 

(b) 方案 二 


图 6.14 SSH 主机 密 钥 管理 认证 方案 示意 图 


和 主机 C, 此 时 ,A 成 为 客户 机 , 它 必须 事先 配置 主机 B 和 主机 C 的 公开 密 钥 ,在 访问 的 时 
候 根据 主机 名 来 查找 相应 的 公开 密 钥 。 对 于 被 访问 主机 (也 就 是 服务 器 端 ) 来 说 则 只 要 保证 
安全 地 存储 自己 的 私 钥 就 可 以 了 。 

@ 存在 一 个 密 钥 认证 中 心 , 所 有 系统 中 提供 服务 的 主机 都 将 自己 的 公开 密 钥 提交 给 认 
证 中 心 , 而 任何 作为 客户 机 的 主机 则 只 要 保存 一 份 认证 中 心 的 公开 密 钥 就 可 以 了 。 在 这 种 
模式 下 ,客户 机 在 访问 服务 器 主机 之 前 ,还 必须 向 密 钥 认证 中 心 请 求 认证 ,认证 之 后 才能 够 
正确 地 连接 到 目的 主机 上 。 

很 显然 ,第 一 种 方式 比较 容易 实现 ,但 是 客户 机 关于 密 钥 的 维护 却 是 个 麻烦 事 , 因 为 每 
次 变更 都 必须 在 客户 机 上 有 所 体现 ; 第 二 种 方式 比较 好 地 解决 了 密 钥 管理 和 维护 的 问题 ， 
然而 这 样 的 模式 对 认证 中 心 的 要 求 很 高 ,在 互联 网 络 上 要 实现 这 样 的 集中 认证 ,单单 是 权威 
机 构 的 确定 就 是 个 大 麻烦 。 但 是 从 长 远 的 发 展 来 看 ,在 企业 应 用 和 商业 应 用 领域 ,采用 中 心 
认证 的 方案 是 必要 的 。 

另外 ,SSH 协议 框架 中 还 允许 对 主机 密 钥 的 一 个 折 中 处 理 , 那 就 是 首次 访问 免 认 证 。 
首次 访问 免 认 证 是 指 ,在 某 客 户 机 第 一 次 访问 主机 时 ,主机 不 检查 主机 密 钥 ,而 向 该 客户 发 
放 一 个 公开 密 钥 的 副本 ,这 样 在 以 后 的 访问 中 则 必须 使 用 该 密 钥 ,否则 会 被 认为 非法 而 拒绝 
其 访问 。 
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3. 字符 集 和 数据 类 型 


SSH 协议 为 了 很 好 地 支持 全 世界 范围 的 扩展 应 用 ,在 字符 集 和 信息 本 地 化 方面 作 了 灵 
活 的 处 理 。 首 先 ,SSH 协议 规定 ,其 内 部 算法 标识 .协议 名 字 等 必须 采用 US-ASCII 字符 
集 , 因 为 这 些 信息 将 被 协议 本 身 直接 处 理 ,而 且 不 会 用 来 作为 用 户 的 显示 信息 。 其 次 ,SSH 
协议 指定 了 通常 情况 下 的 统一 字符 集 为 ISO 10646 标准 下 的 UTF-8 格式 ,详细 请 参考 
RFC-2279。 另 外 ,对 于 信息 本 地 化 的 应 用 ,协议 规定 了 必须 使 用 一 个 专门 的 域 来 记录 语言 
标记 (language tag)。 对 于 大 多 数 用 来 显示 给 用 户 的 信息 ,使 用 什么 样 的 字符 集 主要 取决 于 
用 户 的 终端 系统 ,也 就 是 终端 程序 及 其 操作 系统 环境 ,因而 对 此 SSH 协议 框架 中 没有 作 硬 
性 规定 ,而 由 具体 实现 协议 的 程序 来 自由 掌握 。 

除了 在 字符 、 编 码 方面 的 灵活 操作 外 ,SSH 协议 框架 中 还 对 数据 类 型 作 了 规定 ,提供 了 
7 种 方便 实用 的 种 类 ,包括 字 节 类 型 ,布尔 类 型 .无 符号 的 32 位 整数 类 型 .无 符号 的 64 位 整 
数 类 型 .字符 串 类 型 .多 精度 整数 类 型 以 及 名 字 表 类 型 。 解 释 说 明 如 下 。 

(1) 字 节 类 型 (byte) 

一 个 字 节 (byte) 代 表 一 个 任意 的 8 字 位 值 (octet)[RFC-1700]。 有 了 时候 固 定 长 度 的 数 
据 就 用 一 个 字 节 数组 来 表示 ,写成 byteLnj] 的 形式 ,其 中 是 数组 中 的 字 节 数 量 。 

(2) 布尔 类 型 (boolean) 

一 个 布尔 值 (boolean) 占 用 一 个 字 节 的 存储 空间 。 数 值 0 表示“ 假 "(FALSE) ,数值 1 表 
示 “ 真 "(TRUE)。 所 有 非 零 的 数值 必须 被 解释 成 “ 真 ”, 但 在 实际 应 用 程序 中 是 不 能 给 布尔 
值 存储 0 和 1 以 外 的 数值 的 。 

(3) 无 符号 的 32 位 整数 类 型 (unit32) unit32 首 地 址 为 ;0x1000 

一 个 32 字 位 的 无 符号 整 型 数值 ,由 按照 降序 存储 的 
4 个 字 节 构成 (降序 即 网 络 字 节 序 ,高 位 在 前 ,低位 在 


f 
后 )。 例 如 ,有 一 个 数值 为 63828921, 它 的 十 六 进 制 表示 om | 


03 CD F3 B9 


为 0x03CDF3B9 ,在 实际 存储 时 就 是 03 CD F3 B9 ,具体 0x1002 

存储 结构 的 地 址 分 配 如 图 6. 15 所 示 。 Ox1003 
(4) 无 符号 的 64 位 整数 类 型 (unit64) 图 6.15 无 符号 32 位 整数 类 型 的 
一 个 64 字 位 的 无 符号 整 型 数值 ,由 按照 降序 存储 的 典型 存储 格式 

8 个 字 节 构成 ,其 具体 存储 结构 与 32 位 整数 类 似 ,可 以 比 

照 图 6. 15。 


(5) 字符 串 类 型 (string) 

字符 串 类 型 就 是 任意 长 度 的 二 进 制 序列 。 字 符 串 中 可 以 包含 任意 的 二 进 制 数据 ,包括 
空 字符 Cnul) 和 8 位 字符 。 字 符 串 的 前 4 个 字 节 是 一 个 unit32 数值 ,表示 该 字符 串 的 长 度 
(也 就 是 随后 有 多 少 个 字 节 ) ,unit32 之 后 的 零 个 或 者 多 个 字 节 的 数据 就 是 字符 串 的 值 。 字 
符 串 类 型 不 需要 用 空 字符 来 表示 结束 。 
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字符 串 也 被 用 来 存储 文本 数据 。 这 种 情况 下 ,内 部 名 字 使 用 US-ASCII 字符 ,可 能 对 用 

户 显示 的 文本 信息 则 使 用 ISO-10646 UTF-8 编码 。 一 般 情 况 字 符 串 中 不 应 当 存储 表示 结 

束 的 空 字符 Cnull) 。 在 图 6. 16 中 举例 说 明 字符 串 "My ABC" 的 存储 结构 。 
字符 囊 (string) 首 地 址 为 : 0x1000 

[om[olo[3p1[a14[42 4 


Ox1000 My A BB i'C' 


Ox1001 
Ox1002 
Ox1003 


一 个 表示 本 字符 串 数 据 长 度 的 本 字符 串 的 实际 内 容 ， 共 6 个 
32 位 无 符号 整数 字符 ， 不 需要 结束 的 '\0' 空 字符 
(长 度 为 0x00000006. 即 6) 


图 6.16 字符 串 类 型 的 典型 存储 格式 


从 图 6. 16 中 可 以 看 出 ,字符 串 类 型 所 占用 的 长 度 为 4 个 字 节 加 上 实际 的 字符 个 数 ( 字 
节 数 ) ,即使 没有 任何 字符 的 字符 串 也 要 占用 4 个 字 节 。 这 种 结构 与 Pascal 语言 中 的 字符 
串 存 储 方式 类 似 。 

(6) 多 精度 整数 类 型 

多 精度 的 整数 类 型 实际 上 是 一 个 字符 串 ,其 数据 部 分 采用 二 进 制 补 码 格式 的 整数 ,数据 
部 分 每 个 字 节 8 位 ,高 位 在 前 ,低位 在 后 。 如 果 是 负数 ,其 数据 部 分 的 第 一 字 节 最 高 位 为 1。 
如 果 恰 巧 一 个 正 数 的 最 高 位 是 1 时, 它 的 数据 部 分 必须 加 一 个 字 节 0x00 作为 前 导 。 需 要 注 
意 的 是 ,额外 的 前 导 字 节 如 果 数 值 为 0 或 者 255 时 就 不 能 被 包括 在 整数 数值 内 。 数 值 0 则 
必须 被 存储 成 一 个 长 度 为 零 的 字符 串 (string)。 多 精度 整数 在 具体 运算 时 还 是 要 遵循 正常 
的 整数 运算 法 则 的 。 其 存储 格式 通过 图 6. 17 的 若干 示例 来 说 明 。 

(7) 名 字 表 类 型 (name-list) 

名 字 表 (Cname-list) 是 一 个 由 一 系列 以 逗号 分 隔 的 名 字 组 成 的 字符 串 (string)。 在 存储 
方式 上 与 字符 串 一 样 ,名 字 表 前 4 个 字 节 是 一 个 unit32 型 整数 ,以 表示 其 长 度 (随后 的 字 节 
数目 ,类 似 于 字符 串 类 型 ) ,其 后 跟随 着 由 逗号 分 隔 开 的 一 系列 名 字 , 可 以 是 0 个 或 者 多 个 。 
一 个 名 字 则 必须 具有 非 零 长 度 , 而 且 不 能 包含 逗号 ,因为 逗号 是 名 字 之 间 的 分 隔 符 。 在 使 用 
时 ,上 下 文 关系 可 以 对 名 字 表 中 的 名 字 产 生 额 外 的 限制 ,比如 ,一 个 名 字 表 中 的 名 字 都 必须 
是 有 效 的 算法 标识 ,或 者 都 是 语言 标记 等 。 名 字 表 中 名 字 是 否 与 顺序 相关 ,也 要 取决 于 该 名 
字 表 所 在 的 上 下 文 关系 。 与 字符 串 类 型 一 样 , 无 论 是 单个 的 名 字 , 还 是 整个 名 字 表 ,都 不 需 
要 使 用 空 字符 作为 结束 ,如 图 6. 18 所 示 。 

SSH 协议 框架 中 拥有 对 这 些 数据 类 型 的 支持 ,这 将 对 协议 .算法 的 处 理 带 来 极 大 的 便利 。 
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指示 数据 长 度 为 2 字 节 ”实际 数据 0xFF 
(b) 多 精度 的 整数 0x 企 最 高 位 是 1 则 加 前 导 字 节 0x00 
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实际 数据 0x321D4F97032A11 


指示 数据 长 度 为 7 字 节 
(0) 7 个 字 节 的 多 精度 的 整数 , 正 数 数据 部 分 无 须 前 导 字 节 
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(d) 多 精度 整数 的 负数 表示 ， 上 面 为 -0x0358, 补 码 为 0xFCA8, 最 高 位 已 经 


是 1(0xFC)， 不 要 前 导 空格 ; 下 面 为 -OXABCDEF, 补 码 为 0x543211, 
由 于 其 最 高 不 是 1(0x54)， 所 以 加 前 导 字 节 0xFF 
图 6.17 多 精度 整数 类 型 的 典型 存储 格式 


1 
指示 数据 长 度 为 7 字 节 


指示 数据 长 度 为 0 字 节 

(a) 一 个 空 的 名 字 表 
ofofoTlo T3116 T2121 la 
EE 


表 中 第 二 个 名 字 'rsa" 


表 中 第 一 个 名 字 "ssh" 


名 字 一 和 名 字 二 之 间 的 分 隔 符 


(b) 具有 两 个 名 字 的 名 字 表 , "ssh" 和 "rsa" 
图 6.18 名 字 表 的 典型 存储 格式 
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6.2.4 SSH 协议 的 通信 过 程 


在 连接 建立 阶段 ,与 Telnet、FTP 等 网 络 服务 不 同 ,SSH 要 复杂 得 多 。SSH 连接 建立 
前 要 解决 版 本 协商 、 会 话 密 钥 生成 和 认证 等 阶段 。 每 个 步骤 具体 描述 如 下 。 

(1) 协议 版 本 协商 

由 于 SSH 具有 多 种 不 同 的 版 本 ,两 个 SSH 协议 首先 要 确认 这 次 通信 使 用 何 种 版 本 。 
具体 过 程 是 ,客户 端 向 服务 端 发 出 TCP 请 求 ,服务 端 响应 客户 端的 TCP 请 求 ,并 告诉 客户 
端 其 自身 的 协议 版 本 号 和 软件 版 本 号 ,客户 端 根据 服务 端 和 自己 的 协议 版 本 号 和 软件 版 本 
号 决定 使 用 哪 种 协议 版 本 号 和 软件 版 本 号 进行 此 次 通信 ,一 般 取 客户 端 和 服务 端 最 低 或 互 
相 兼容 的 协议 版 本 号 和 软件 版 本 号 。 这 个 过 程 以 明文 传送 ,还 没 涉 及 到 加 密 。 

(2) 会 话 加 密 初 始 化 阶段 

SSH 通信 使 用 会 话 密 钥 保 证 传输 加 密 ,这 一 阶段 是 产生 会 话 密 钥 的 过 程 。 由 于 考虑 到 
性 能 问题 ,会 话 加 密 采 用 对 称 加 密 机 制 。 会 话 密 钥 必 须 安全 产生 ,并 且 安 全 传送 到 另 一 方 。 
SSH 协议 使 用 公 钥 体系 来 保障 会 话 密 钥 的 安全 传输 。 

具体 做 法 是 ,服务 端 发 送 主机 密 钥 公 钥 部 分 .服务 密 钥 公 钥 部 分 、 一 个 64 位 的 随机 数 和 
支持 的 加 密 算 法 等 信息 给 客户 端 ,客户 端 生成 会 话 密 钥 ,并 用 服务 端 主机 公 钥 、 服 务 端 服务 
公 钥 等 要 素 对 会 话 密 钥 进 行 加 密 并 传送 给 服务 端 ,服务 端 收 到 加 密 字符 串 后 用 自己 的 各 种 
私 钥 解 密 , 算 出 会 话 密 钥 。 此 时 ,会 话 密 钥 已 安全 传送 ,双方 可 以 使 用 该 密 钥 加 密 传输 数据 。 

(3) 认证 阶段 

会 话 密 钥 协商 后 ,双方 进入 认证 阶段 。 客 户 端 首先 向 服务 端 发 送 用 户 名 ,服务 端 检 查 用 
户 是 否 存 在 ,如 果 该 用 户 不 存在 则 返回 相应 信息 以 示 该 用 户 不 存在 ,如 果 该 用 户 存 在 则 通知 
客户 “现在 可 以 发 送 认 证 请 求 了 ”。 

客户 端 收 到 “该 用 户 存 在 ”的 信息 ,客户 端 按 照 已 经 设 好 的 认证 方式 向 服务 端 提出 认证 
请 求 , 对 任何 一 个 申请 ,如 果 服 务 端 接受 ,服务 端 就 发 送 “ 接 受 该 认证 ”的 信息 给 客户 端 , 否 
则 ,以 “无 法 识别 该 认证 方式 ”回应 。 

SSH 可 以 单独 使 用 以 上 的 某 种 认证 方式 ,也 可 以 多 种 认证 方式 混合 使 用 。 

(4) 会 话 模式 阶段 

客户 端 通过 服务 端 认证 后 ,发 送 会 话 请 求 ,这 些 请 求 包括 数据 压缩 .端口 转发 .运行 
shell 和 执行 命令 等 。 服务 端 一 市 查 这 些 请 求 , 并 返回 相应 信息 。 

认证 是 SSH 最 重要 和 最 关键 的 阶段 ,下 面 对 SSH 认证 过 程 进行 详细 分 析 。 

SSH 协议 中 用 户 认证 协议 的 目的 是 进行 客户 端 用 户 的 认证 , 它 假定 传输 层 协 议 是 安全 
的 , 即 已 经 验证 了 服务 器 的 身份 .并 建立 了 加 密 的 通信 信道 ,同时 也 为 当前 会 话 产 生 了 一 个 
唯一 的 会 话 标 识 。 在 此 前 提 下 ,所 有 认证 方法 中 的 数据 包 ( 如 认证 请 求 和 应 答 消 息 ) 都 不 考 
虑 内 容 保密 的 问题 。 
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SSH 协议 中 ,用 户 认证 由 服务 器 方 主导 进行 。 如 前 所 述 ,SSH 协议 支持 多 种 认证 方法 。 
这 些 认证 方法 可 以 在 SSH 的 认证 请 求 消息 中 指明 ,也 可 以 由 服务 器 向 客户 机 说 明 有 哪些 认 
证 方法 可 以 使 用 ,之 后 的 认证 过 程 中 ,客户 机 可 以 根据 情况 选择 一 种 或 几 种 认证 方法 来 继续 

在 SSH 协议 体系 中 ,认证 方法 通过 名 字 来 标识 。 有 一 个 特殊 的 认证 方法 名 为 none, 是 
系统 保留 的 。 如 果 客 户 机 试图 通过 none 方法 来 连接 服务 器 ,服务 器 在 通常 情况 下 会 将 自己 
所 支持 的 所 有 认证 方法 作为 应 答 发 送 给 该 客户 机 。 当 某 个 客户 机 被 免除 任何 认证 时 ,服务 
器 收 到 它 的 一 个 none 请 求 时 会 无 条 件 接受 该 客户 机 的 连接 请 求 。 

无 论 采 用 什么 认证 方法 ,还 是 多 种 认证 方法 相 结合 ,服务 器 在 若干 次 重复 的 认证 失败 
后 ,应 该 进入 一 个 “ 休 眼 ”期 ,短暂 地 拒绝 访问 ,以 使 密 钥 的 搜索 攻击 变 得 更 加 困难 ,从 而 在 一 
定 程度 上 提高 协议 的 安全 性 。 

SSH 的 用 户 认 证 协议 支持 对 认证 方法 的 协商 ,增加 了 协议 实现 时 的 灵活 性 ,增强 了 认 
证 过 程 的 可 管理 性 ,也 为 认证 机 制 的 配置 和 组 合 提供 了 可 能 。 在 协议 规定 的 基本 认证 方法 
之 外 ,还 可 以 方便 地 扩充 新 的 认证 方法 ,从 发 展 的 眼光 来 看 ,这 对 于 增加 协议 的 生命 力 有 着 
重要 的 意义 。 


1. SSH 认证 请 求 和 应 答 消息 

SSH 协议 的 认证 过 程 通过 典型 的 请 求 -应 答 (request-response) 消 息 来 完成 。 请 求 消息 
由 客户 机 发 起 ,应 答 消息 由 服务 器 发 起 。 

SSH 认证 协议 中 的 基本 消息 如 下 。 

。 用 户 认证 请 求 (SSH_MSG_USERAUTH_REQUEST)。 

。 用 户 认证 失败 (SSH_MSG_USERAUTH_FAILURE)。 

。 用 户 认证 成 功 (SSH_MSG_USERAUTH_SUCCESS)。 

。 用 户 认证 标语 (SSH_MSG_USERAUTH_BANNER) 。 

(1) 客户 端 认证 请 求 

SSH 协议 中 ,认证 请 求 消息 由 客户 端 向 服务 器 发 起 ,消息 内 容 如 图 6. 19 所 示 。 


消息 类 型 用 户 名 服务 名 认证 方法 其 他 
图 6.19 SSH 认证 协议 的 “认证 请 求 ”消息 

其 中 ,消息 类 型 为 SSH_MSG_USERAUTH_REQUEST, 代 表 SSH 认证 请 求 , 包 的 其 
余部 分 (“其 他 ”字段 ) 根 据 具体 认证 方法 而 变化 ,例如 可 以 包括 一 个 使 用 公 钥 认证 时 的 客户 
端的 签名 信息 。 服 务 名 指定 了 用 户 所 请 求 的 服务 ,如果 该 服务 不 可 用 , 则 服务 器 必须 断 开 连 
接 。 用 户 名 则 指明 了 用 户 的 身份 ,如 果 服 务 器 上 没有 该 用 户 名 ,可 以 给 客户 端 应 答 一 些 伪造 
的 认证 方法 名 ,以 混淆 客户 机 的 视听 ,避免 泄露 本 机 的 账号 信息 。 认 证 方法 指名 客户 端 请 求 
的 认证 方式 ,如 基于 公 钥 的 认证 、 密 码 认 证 和 主机 认证 等 。 


174 计算 机 网 络 安全 一 一 协议 .技术 与 应 用 


在 一 次 服务 会 话 的 认证 过 程 中 ,用 户 名 和 服务 名 这 两 个 域 的 内 容 是 不 会 变化 的 ,服务 器 
一 旦 发 现 它们 有 所 变化 , 则 将 此 次 会 话 中 的 认证 状态 还 原 ,如 果 状 态 不 能 还 原 , 则 服务 器 断 
开 连 接 以 防 欺 诈 。 

客户 机 可 以 连续 给 服务 器 发 送 若干 认证 请 求 , 如 果 其 中 某 种 认证 方法 不 被 服务 器 支持 ， 
则 服务 器 就 直接 拒绝 相应 的 请 求 。 如 果 服 务 器 正在 处 理 某 个 认证 请 求 的 同时 又 收 到 同一 客 
户 的 新 的 认证 请 求 , 那 么 旧 的 请 求 被 丢弃 ,服务 器 以 新 请 求 重新 开始 认证 。 

(2) 服务 器 认证 请 求 应 答 

如 果 服 务 器 拒绝 了 一 个 认证 请 求 , 它 向 服务 器 发 出 用户 认 证 失败 ”消息 ,消息 格式 如 
图 6. 20 所 示 。 


消息 类 型 可 用 的 认证 方法 列表 认证 是 否 成 功 


图 6.20 SSH 认证 协议 的 “用 户 认证 失败 ”消息 


其 中 ,消息 类 型 为 SSH_MSG_USERAUTH_FAILURE ,代表 认证 请 求 失败 。 认 证 是 
否 成 功 标志 的 布尔 量 设置 成 “ 假 ”"。 可 用 的 认证 方法 列表 中 给 出 一 串 以 逗号 分 隔 的 认证 方法 
的 名 字 。 这 个 消息 告诉 客户 机 : 你 的 前 一 个 认证 请 求 被 拒绝 了 ,请 使 用 所 给 出 的 认证 方法 
名 字 继 续 尝 试 认证 请 求 。 

如 果 服 务 器 接受 并 通过 了 客户 机 的 认证 请 求 , 则 向 客户 机 发 出 “用 户 认证 成 功 ” 消 息 。 
因为 SSH 协议 允许 服务 器 主导 认证 过 程 ,并 支持 多 种 认证 方法 ,因此 服务 器 只 是 在 整个 认 
证 过 程 全 部 完成 后 才 会 发 送 认 证 成 功 的 消息 。 

例如 , 某 次 认证 过 程 中 ,服务 器 需要 进行 a,b,c 三 种 方法 的 认证 ,其 认证 请 求 和 应 答 的 
典型 交互 过 程 描 述 如 下 。 

@ 客户 机 发 送 一 个 none 认证 请 求 。 

@ 服务 器 收 到 none 请 求 后 ,向 客户 机 发 送 “用户 认 证 失败 ?消息 作为 应 答 , 在 消息 的 
可 用 认证 方法 列表 中 给 出 a,b,c 三 种 认证 方法 的 名 字 。 

@ 客户 机 收 到 应 答 后 使 用 a 方法 再 次 进行 认证 请 求 。 

@ 服务 器 使 用 a 方法 对 客户 机 进行 认证 。 

@ 服务 器 通过 了 a 方法 的 认证 后 青 次 应 答 一 个 “用 户 认 证 失败 ”消息 ,并 附带 了 两 种 认 
证 方法 , 即 b 和 c。 

@ 重复 以 上 步 又 的 加 ,@@ 和 @, 直 到 完成 所 有 认证 方法 的 认证 后 ,服务 器 向 客户 机 应 等 
一 个 “用 户 认证 成 功 ”消息 结束 认证 过 程 。 

需要 说 明 的 是 ,在 一 次 会 话 中 ,一 旦 服务 器 向 客户 机 发 出 “用 户 认证 成 功 ”( 即 SSH_ 
MSG_USERAUTH_SUCCESS 消息 ) 的 应 答 之 后 ,就 会 忽略 此 后 本 会 话 中 所 有 的 认证 请 求 
消息 。 如 果 服 务 器 在 认证 成 功 之 前 收 到 客户 机 的 一 些 非 认 证 消息 , 则 等 到 认证 成 功 之 后 ,这 
些 消息 才 会 被 传递 给 相应 的 服务 进行 处 理 , 相 当 于 增加 了 一 个 缓冲 。 
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(3) 认证 过 程 

经 过 认证 请 求 和 应 答 之 后 ,服务 器 执行 认证 过 程 , 该 过 程 和 具体 认证 方法 相关 。 认 证 过 
程 完 成 后 ,服务 器 向 客户 端 发 出 “认证 成 功 ” 的 应 答 消 息 来 标记 认证 过 程 结束 。 即 服务 器 在 
发 送 SSH_MSG_USERAUTH_SUCCESS 消息 之 后 ,就 开始 提供 客户 机 所 请 求 的 服务 了 。 

SSH 协议 支持 在 认证 过 程 中 显示 标语 ,标语 消息 的 格式 如 图 6. 21 所 示 。 


消息 类 型 消息 内 容 语言 标记 


图 6.21 SSH 认证 协议 的 “标语 ”消息 


其 中 ,消息 类 型 为 SSH_MSG_USERAUTH_BANNER。 客 户 机 在 默认 情况 下 将 把 这 
个 消息 的 内 容 ( 符 合 ISO-10646 UTF-8 编码 ) 显 示 在 屏幕 上 。 在 处 理 这 些 信息 的 显示 时 , 需 
要 采取 一 定 的 过 滤 措施 来 避免 那些 通过 发 送 终端 控制 字符 来 进行 网 络 攻击 的 行为 ,以 保证 
安全 。 

以 下 描述 SSH 中 各 种 认证 方法 的 具体 认证 过 程 。 


2. 基于 公 钥 的 认证 

公开 密 钥 认证 方法 中 ,拥有 一 个 私有 密 钥 就 解决 了 认证 问题 。 这 种 方法 使 用 用 户 的 私 
有 密 钥 产 生 一 个 签名 并 发 送 给 服务 器 ,服务 器 验证 签名 的 有 效 性 。 验 证 通过 后 ,服务 器 接受 
这 个 认证 请 求 , 否 则 拒绝 该 认证 请 求 。 即 使 通过 了 公开 密 钥 认 证 ,服务 器 还 可 以 要 求 进一步 
做 其 他 认证 。 

SSH 协议 中 ,典型 的 基于 公 钥 的 认证 过 程 如 图 6. 22 所 示 。 其 中 ,第 一 步 和 第 二 步 是 可 
选 的 。 


客户 机 服务 器 
@ 客户 端 声明 自己 要 使 用 某 种 公开 密 钥 算法 


@ 服务 器 应 答 是 否 同意 客户 机 使 用 上 述 算法 


@ 客户 机 提交 一 认证 请 求 


图 服务 器 应 答 认 证 是 否 成 功 


图 6.22 典型 的 公开 密 钥 认证 过 程 


中 为 了 避免 不 必要 的 处 理 和 多 余 的 用 户 交 互 ,客户 端 向 服务 器 发 出 一 个 “用 户 认 证 请 
求 ”消息 ,用 来 查询 客户 端 使 用 的 算法 和 密 钥 是 否 会 被 服务 器 端 接受 。 消 息 内 容 和 数据 类 型 
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如 下 。 


公 钥 


byte SSH MSG USERAUTH REQUEST 
string ”用户 名 

string 服务 名 

string "publickey" 

boolean FALSE 

string 公开 密 钥 算法 名 字 

string public key blob 


公开 密 钥 算法 在 SSH 传输 层 协议 中 定义 。 消 息 中 的 public key blob 中 包含 用 户 的 


@ 服务 器 收 到 这 个 消息 后 ,按照 算法 名 字 来 检查 算法 和 公 钥 是 否 可 用 ,如 果 不 可 用 就 


予以 拒绝 , 即 向 客户 机 发 送 一 个 SSH_MSG_USERAUTH_FAILURE 应 答 。 如 果 算 法 可 
用 ,服务 器 向 客户 端 发 送 如 下 应 答 消息 。 


byte ~ SSH MSG USERAUTH PK _OK 
string 请 求 消息 中 指明 的 公开 密 钥 算 法 
string 请 求 消 息 的 public key blob 


@ 收 到 思 中 服务 器 的 应 答 消 息 后 ,客户 机 向 服务 器 发 送 一 个 用 私 钥 产 生 的 签名 。 客 户 


机 也 可 以 直接 发 送 签名 而 不 事先 去 验证 密 钥 是 否 能 够 被 服务 器 接受 , 即 省 去 以 上 的 步骤 1 
和 步骤 2, 直 接 执行 步骤 3 和 步骤 4。 发 送 签名 的 消息 其 包 格 式 如 下 。 


byte ”SSH_MSG_USERAUTH_REOUEST 
string ”用户 名 

string 服务 名 

string "publickey" 

boolean TRUE 

string 公开 密 钥 算法 名 字 

string 用 来 进行 认证 的 公开 密 钥 
string 签名 信息 


签名 信息 的 内 容 就 是 用 相应 的 私有 密 钥 加 密 过 的 数据 ,数据 格式 如 下 。 


string 会话 标识 

byte SSH MSG USERAUTH REQUEST 
string 用 户 名 

string 服务 名 

string "publickey" 

boolean TRUE 

string 公开 密 钥 算法 名 字 

string 用 来 进行 认证 的 公开 密 钥 


@ 服务 器 收 到 名 中 的 消息 后 ,首先 检查 所 提供 的 密 钥 是 否 可 以 用 来 进行 认证 ,如 果 是 ， 


验证 客户 端的 签名 。 根 据 验证 结果 向 客户 端 发 送 验证 应 答 消息 , 即 通过 验证 后 发 送 “用 户 认 
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证 成 功 ” 消 息 , 否 则 发 送 “ 用 户 认证 失败 ”消息 。 


3. 密码 认证 


SSH 协议 的 任何 实现 版 本 中 都 必须 支持 密码 认证 方法 。 在 密码 认证 方法 中 ,服务 器 可 
以 根据 需要 要 求 用 户 修改 自己 的 密码 。 典 型 的 密码 认证 中 ,客户 端 向 服务 器 发 送 如 下 “用 户 
认证 请 求 ” 消 息 。 

byte SSH_MSG_ USERAUTH REQUEST 

string ”用户 名 

string 服务 名 


string "password” 

boolean FALSE 

string 纯 文本 格式 的 密码 (ISO-10646 UTF-8 编码 ) 

上 面 是 一 个 用 户 认证 的 消息 , 它 指明 了 认证 方法 是 password, 即 密码 方法 。 唯 一 的 布 
尔 域 指 明 是 否 修 改 用 户 密码 ,布尔 值 为 假 时 ,消息 中 只 包含 用 户 原来 的 密码 。 在 认证 消息 
中 ,密码 采用 ISO-10646 UTF-8 编码 ,客户 端 和 服务 器 端 均 可 以 根据 需要 将 编码 格式 转换 
到 各 自 环境 下 所 需要 的 格式 。 

此 外 ,在 产生 上 述 认证 请 求 消息 的 时 候 , 密 码 数据 是 不 做 加 密 处 理 的 ,因为 SSH 协议 中 
的 保密 机 制 是 由 传输 层 来 承担 的 。 

通常 情况 ,服务 器 对 上 述 消息 向 客户 端 发 送 一 个 “用 户 认 证 成 功 ” 或 用户 认证 失败 ”的 
应 答 。 此 外 ,服务 器 也 可 以 给 出 一 个 SSH_MSG_USERAUTH_PASSWD_CHANGEREQ 
消息 , 即 “ 更 改 密码 请 求 ”消息 作为 应 答 。 消 息 中 包括 如 下 字段 。 

byte SSH MSG USERAUTH PASSWD CHANGEREQ 

string ”提示 信息 (IS0-10646 UTF-8 编码 ) 

string 语言 标记 (定义 于 RFC1766) 

这 个 应 答 消息 要 求 用 户 修改 自己 的 密码 。 此 时 ,客户 端 软件 应 当 要 求 用 户 输 入 一 个 新 
的 密码 ,然后 再 向 服务 器 发 送 一 个 新 的 请 求 消息 ,格式 如 下 : 

byte SSH MSG USERAUTH REQUEST 

string 用 户 名 

string 服务 名 

string "password" 

boolean TRUE 

string 纯 文本 格式 的 旧 密 码 (IS0-10646 UTF-8 编码 ) 

string 纯 文本 格式 的 新 密码 (ISO-10646 UTF-8 编码 ) 

客户 机 也 可 以 在 认证 一 开始 就 发 送 这 个 消息 ,也 就 是 说 无 论 服 务 器 是 否 要 求 用 户 修改 
密码 ,客户 端 都 要 求 用 户 修改 自己 的 密码 。 

密码 认证 方法 的 过 程 如 图 6. 23 所 示 ,其 中 @ 和 @ 是 可 选 的 。 
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客户 机 服务 器 


(D) 客户 端 声明 了 密码 认证 并 给 出 当前 密码 


(2) 服务 器 应 答 有 三 种 : 要 用 户 修改 密码 、 认 证 
失败 、 认 证 成 功 


(3) 客户 机 得 到 新 修改 的 密码 后 再 次 发 出 认证 请 求 


(4) 服务 器 应 答 认 证 是 否 成 功 


图 6.23 典型 的 密码 认证 过 程 


4. 基于 主机 的 认证 

基于 主机 的 认证 方法 是 SSH 协议 中 一 个 可 选 的 方法 ,允许 在 有 些 实现 版 本 中 不 支持 这 
种 认证 方法 。 基 于 主机 的 认证 方法 根据 用 户 所 在 的 主机 和 远程 主机 的 用 户 名 来 进行 认证 ， 
虽然 这 种 认证 方法 在 安全 要 求 很 高 的 场合 并 不 适用 ,但 它 使 用 方便 ,因此 应 用 范围 广泛 。 如 
果 协 议 支持 这 种 认证 方法 , 则 必须 保证 一 个 普通 的 用 户 无 法 得 到 私有 的 主机 密 钥 。 

基于 主机 的 认证 方法 中 ,客户 机 使 用 自己 的 私有 主机 密 钥 产生 一 个 签名 并 发 送 至 服务 
器 ,服务 器 利用 该 主机 的 公 钥 对 其 签名 进行 验证 。 客 户 机 通过 验证 后 ,认证 过 程 就 根据 服务 
器 和 客户 机 的 用 户 名 和 主机 名 来 进行 。 基 于 主机 的 认证 请 求 消息 格式 如 下 。 


byte SSH_MSG_USERAUTH_REOUEST 

string 用 户 名 

string 服务 名 

string "hostbased" 

string 主机 密 钥 的 公开 密 钥 算 法 

string 客户 主机 的 公开 主机 密 钥 和 证 书 

string 客户 端 主机 名 字 (FQDN; US-ASCII) 

string 远程 客户 机 上 的 用 户 名 (IS0-10646 UTF-8) 
string 签名 信息 


请 求 消息 中 的 签名 信息 是 用 私有 主机 密 钥 加 密 过 的 数据 ,其 内 容 如 下 。 


string 会 话 标 识 

byte SSH_MSG_USERAUTH REQUEST 
string 用 户 名 

string 服务 名 

string "hostbased" 

string 主机 密 钥 的 公开 密 钥 算法 
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string 客户 主机 的 公开 主机 密 钥 和 证 书 

string 客户 端 主机 名 字 (FQDN; US-ASCIIT) 

string 远程 客户 机 上 的 用 户 名 (IS0-10646 UTF-8) 

利用 认证 请 求 消息 中 的 信息 ,服务 器 在 确定 主机 密 钥 的 合法 性 之 后 就 可 以 验证 请 求 服 
务 的 用 户 在 主机 上 的 身份 .验证 签名 数据 的 有 效 性 。 在 这 种 认证 方法 中 ,服务 器 可 以 选择 忽 
略 用 户 名 而 只 进行 客户 端 主机 的 认证 。 


6.2.5 SSH 协议 的 应 用 


SSH 最 常见 的 应 用 就 是 用 它 来 取代 传统 的 Telnet、FTP 等 网 络 应 用 程序 ,通过 SSH 登 
录 到 远方 机 器 执行 各 种 命令 。 在 不 安全 的 网 路 通信 环境 中 , 它 提供 了 验证 机 制 与 非常 安全 
的 通信 环境 。SSH 开发 者 的 原意 是 设计 它 来 取代 原 UNIX 系统 上 的 rcp、rlogin 和 rsh 等 指 
令 程 序 的 ; 但 经 过 适当 包装 后 ,发 现 它 在 功能 上 完全 可 以 取代 传统 的 Telnet、FTP 等 应 用 
程序 。 

传统 BSD 风格 的 + 系列 指令 (如 rcp、rsh 和 rlogin) 往 往 都 被 视 为 不 安全 的 ,很 容易 就 
被 各 种 网 络 攻击 手段 所 破解 ,而 用 来 替代 r 系 列 指令 的 SSH, 则 在 安全 方面 做 了 强化 ,不 但 
对 通信 内 容 可 以 进行 安全 的 加 密 保 护 , 同 时 也 强化 了 对 身份 验证 的 安全 机 制 , 它 应 用 了 在 密 
码 学 中 已 发 展 出 来 的 数 种 安全 加 密 机 制 来 加 强 对 于 身份 验证 与 通信 内 容 的 安全 保护 。 对 于 
消息 的 加 密 有 IDEA ,three-key triple DES、DES、RC4-128、TSS 和 Blowfish 等 多 种 安全 加 
密 算法 可 供 选 择 ,加 密 的 密 钥 可 以 通过 RSA 进行 交换 。 消 息 的 加 密 可 以 对 抗 IP spoofing， 
RSA 这 种 非 对 称 性 的 加 密 机制 则 可 用 来 对 抗 DNS spoofing 与 IP routing spoofing, 同时 
RSA 也 可 以 进行 对 主机 身份 的 验证 。 

其 次 ,通过 使 用 SSH 可 以 在 本 地 主机 和 远程 服务 器 之 间 设 置 “ 加 密 通 道 ”, 并 且 这 样 设 
置 的 “加 密 通道 ?可 以 跟 常 见 的 Pop 应 用 程序 、X 应 用 程序 和 Linuxconf 应 用 程序 相 结合 , 提 
供 安 全 保障 。 

2002 年 3 月 25 日 ,IETF 成 立 专门 的 Secure Shell 工作 组 ,该 组 的 目标 是 更 新 和 标准 化 
现行 的 SSH 协议 ,以 使 SSH 能 够 提供 安全 远程 登录 、 安 全 文件 传输 ,以 及 安全 的 TCP/IP 
和 X11 转发 等 服务 。 

目前 ,有 关 SSH 协议 的 扩展 Internet 草案 包括 : SSH 普通 消息 的 交换 认证 ; SSH 文件 
传输 协议 ; SSH 协议 中 的 GSSAPI 认证 和 密 钥 交 换 ; SECSH 公 钥 文件 格式 ; SSH 传输 层 
协议 的 Diffie-Hellman 组 交换 ; 在 DNS 中 存储 SSH 主机 密 钥 ; SSH 代理 转发 ; SSH 指纹 
格式 等 。 

SSH 协议 发 布 了 两 种 版 本 , 即 版 本 1 和 版 本 2。 版 本 1 是 一 个 完全 免费 的 软件 包 , 包 含 
几 种 专利 算法 (但 其 中 有 几 种 已 经 过 期 ) 上 且 存 在 一 些 明 显 的 安全 漏洞 (如 允许 在 数据 流 中 插 
入 数据 ); 而 版 本 2 安全 性 得 到 较 大 的 提高 ,但 在 商业 使 用 时 则 要 付费 。 概 括 来 说 ,SSH 协 


议 主要 提供 如 下 几 种 安全 服务 。 

。 安全 远程 登录 。 用 户 可 以 用 SSH 完成 TELNET 、RLOGIN 能 够 完成 的 任何 事情 。 
登录 后 所 有 的 通信 数据 都 受到 加 密 保护 。 

。 TCP 端口 转发 。 利 用 SSH 既 可 以 进行 本 地 端口 的 流量 转发 ,也 可 以 进行 远程 端口 
的 流量 转发 ,甚至 可 以 结合 PPP 协议 组 建 虚拟 专用 网 。 

。 安全 远程 执行 命令 。 使 用 SSH 协议 ,同样 可 调用 shell 程序 ,由 于 建立 连接 之 后 的 
所 有 数据 都 经 过 加 密 , 因 此 在 SSH 建立 连接 后 ,远程 执行 命令 时 所 有 的 通信 都 被 
加 密 。 

。 安全 远程 文件 传输 。SSH 允许 通过 客户 端 程序 SCP 进行 文件 的 远程 复制 。 在 SSH 
协议 版 本 2 中 更 提供 了 SFTP 的 安全 文件 传输 服务 。 

。，XX 窗口 连接 转发 。SSH 提供 的 一 个 重要 功能 就 是 X 转发 功能 , 它 可 以 在 客户 端的 
显示 屏 上 把 服务 器 端 X 程序 的 运行 结果 以 图 形 形 式 显示 在 客户 端 。 


6.3 SOCKS 协议 


6.3.1 SOCKS 协议 概述 


套 接 字 安 全 性 (socket security,SOCKS ) 是 一 种 网 络 代理 协议 。 该 协议 所 描述 的 是 一 
种 内 部 主机 (使 用 私有 IP 地址 ) 通 过 SOCKS 服务 器 获得 完全 的 Internet 访问 的 方法 。 具 
体 说 来 是 这 样 一 个 环境 : 用 一 台 运 行 SOCKS 的 服务 器 ( 双 宿 主 主机 ) 连 接 内 部 网 和 
Internet, 内 部 网 主机 使 用 的 都 是 私有 的 IP 地 址 ,内 部 网 主机 请 求 访问 Internet 时 ,首先 和 
SOCKS 服务 器 建立 一 个 SOCKS 通道 ,然后 再 将 请 求 通过 这 个 通道 发 送 给 SOCKS 服务 器 ， 
SOCKS 服务 器 在 收 到 客户 请 求 后 ,向 客户 请 求 的 Internet 主机 发 出 请 求 ,得 到 响应 后 ， 
SOCKS 服务 器 再 通过 原先 建立 的 SOCKS 通道 将 数据 返回 给 客户 。 在 建立 SOCKS 通道 的 
过 程 中 可 能 有 一 个 用 户 认证 的 过 程 。 SOCKS 位 于 传输 层 与 应 用 层 之 间 ,使 用 SOCKS 进行 
通信 的 连接 建立 过 程 如 图 6. 24 所 示 。 

SOCKS 和 通常 的 应 用 层 代 理 服务 器 不 同 , 应 用 层 代理 服务 器 工作 在 应 用 层 ,并 且 针 对 
不 同 的 网 络 应 用 提供 不 同 的 处 理 方法 ,比如 HTTP、FTP 和 SMTP 等 ,这 样 ,一 旦 有 新 的 网 
络 应 用 出 现时 ,应 用 层 代理 服务 器 就 不 能 提供 对 该 应 用 的 代理 ,因此 应 用 层 代理 服务 器 的 可 扩 
展 性 不 好 ; SOCKS 独立 于 应 用 层 协 议 , 能 用 于 多 种 不 同 的 服务 . 它 不 必 知 道 应 用 层 协议 的 具 
体 实 现 ,一 旦 为 双方 建立 相应 连接 ,作为 对 等 层 的 应 用 层 直接 实现 相应 的 服务 与 数据 传输 。 

SOCKS 可 用 于 防火 墙 系统 中 ,在 该 系统 中 ,SOCKS 为 客户 机 /服务 器 的 TCP 与 UDP 
相关 服务 提供 透明 、 安 全 的 实现 模式 。 一 个 遵循 SOCKS 协议 的 防火 墙 系统 主要 由 SOCKS 
客户 机 和 SOCKS 服务 器 组 成 ,如 图 6. 25 所 示 。 
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| 客户 机 SOCKS | 服务 器 


应 用 层 | | 4 应用 屋 | 


传输 层 传输 层 传输 层 


图 6.24 SOKCS 连接 建立 示意 图 


SOCKS 
客户 机 SOCKS 
服务 器 路 由 器 
外 部 网 络 
内 部 子 网 


图 6.25 SOCKS 防火 墙 系统 示意 图 


当前 ,SOCKS 协议 及 其 应 用 还 不 断 在 研究 与 完善 过 程 中 ,IETF 成 立 了 防火 墙 认证 传 
输 工程 组 (authenticated firewall traveral, AFT) 对 SOCKS 协议 及 相关 领域 进行 专门 研究 。 
SOCKS 在 发 展 过 程 中 经 历 了 几 个 版 本 ,目前 使 用 的 是 SOCKSv5。SOCKSv5 可 提供 如 下 功能 。 

。 认证 机 制 。 

。 认证 方法 的 选择 与 协商 。 

。 地 址 解析 代理 ,支持 Ipv6 和 IP 地 址 与 域名 转换 。 

。 支持 UDP 应 用 程序 。 

。 可 实现 数据 完整 性 和 机 密 性 服务 。 

目前 ,SOCKSv5 已 被 用 于 多 种 代理 服务 器 产品 中 , 如 wingate、 sygate、winproxy、 
ccproxy 和 Microsoft proxy server 等 多 种 代理 服务 器 均 实现 并 支持 SOCKSv5 协议 。 


6.3.2 SOCKS 协议 通信 过 程 


在 一 个 实现 SOCKSv5 的 系统 中 ,如 果 客 户 机 要 同 应 用 层 服务 器 建立 连接 ,首先 同 
SOCKS 代理 服务 器 建立 连接 ,应 用 层 服务 器 的 有 关 地 址 、 端 口 都 将 在 这 一 过 程 中 传递 给 
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SOCKS 代理 服务 器 ,客户 机 与 SOCKS 服务 器 经 过 认证 协商 后 ,SOCKS 服务 器 会 根据 
SOCKS 客户 机 请 求 同 远程 服务 器 建立 相应 的 TCP 或 UCP 连接 ,实现 相应 的 应 用 程序 协 
议 , 如 图 6. 26 所 示 。 


SOCKS 客 户 机 Le SOCKS 服 务 器 


远程 主机 服务 器 


vy 
[ET 发 送 代理 请 求 | -3 [处理 请 求 
6 


[建立 代理 电路 | 一 =| 接受 连接 


v 
核查 认证 方法 | 3 | 画 迹 兴 证 方法 琐 哥 ] 


检查 分 析 代理 状态 | 发 送 电 路 状态 
村。 4 一 y 
认证 处 再“ 一 一 | 认证 处 理 ] 应 用 层 协议 | & 一 =[ 数据 传送 “| 8 | 应 用 层 协议 


图 6.26 SOCKS 客户 机 /服务 器 工作 原理 


下 面 所 列 请 求 与 应 答 格式 中 的 十 进 制 数 代表 该 选项 8 位 元 长 度 ,xhh 人 代表 该 选项 的 值 。 
SOCKS 协议 的 通信 过 程 描述 如 下 。 

中 首先 ,客户 机 与 SOCKS 服务 器 进行 TCP 连接 。 在 通常 情况 下 ,SOCKS 服务 器 位 于 
TeP1080 端口 ,如果 连 接 成 功 , 则 进入 下 一 步 。 

@ 客户 机 向 服务 器 发 送 认 证 请 求 ,双方 进 入 认证 方法 协商 。 请 求 消息 的 格式 如 图 6. 27 
所 示 。 


版 本 号 选择 认证 方法 号 认证 方法 号 
1 1~255 


图 6.27 认证 请 求 格 式 


其 中 ,版 本 号 为 x05', 表 示 采 用 SOCKSv5 协议 ,选择 认证 方法 号 是 系统 支持 的 认证 方 
法 编号 。 

QQ SOCKS 服务 器 收 到 这 个 请 求 , 经 系统 核实 后 ,向 客户 方 发 送 一 个 应 答 消 息 ,消息 格 
式 如 图 6. 28 所 示 。 


版 本 号 确认 方法 号 


图 6.28 应 答 格式 


其 中 ,版 本 号 为 x'05', 方 法 号 可 以 取 值 : x'00' 表 示 无 认证 请 求 ; x'01' 表 示 采 用 通用 安全 
服务 应 用 程序 接口 ; x'02' 表 示 采 用 用 户 名 /密码 认证 ; x'03' 表 示 采 用 握手 认证 协议 
(CHAP)。 
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@ 客户 机 /服务 器 双方 在 约定 的 认证 方法 后 进入 相应 的 认证 处 理 ,实现 相应 的 认证 
协议 。 
@ 一 旦 认证 成 功 , 由 SOCKS 客户 机 向 SOCKS 服务 器 发 送 一 个 代理 请 求 ; 如 果 认 证 失 
败 , 系 统 关 闭 连接 ,将 错误 写 入 日志。 请 求 格式 如 图 6. 29 所 示 。 


版 本 请 求 类 型 保留 地 址 类 型 目的 地 址 目的 端口 
1 1 X'00' |! 变量 2 


图 6.29 代理 请 求 格式 


在 随后 的 @@@ 步 中 建立 代理 电路 ,并 检查 分 析 代 理 状态 后 ,最 后 将 连接 交 由 服务 器 
处 理 。 


1. 分 别 在 Tomcat 和 Windows IIS 中 配置 SSL ,实现 安全 的 HTTP 服务 。 
2. 编程 实现 HTTPS 服务 器 。 

3. 安装 支持 SOCKSv5 的 代理 服务 器 ,并 在 其 中 进行 安全 设置 。 

4. 安装 SSH 的 服务 器 和 客户 端 程序 ,实现 安全 远程 登录 。 


思考 题 


1. SSL 握手 协议 的 作用 是 什么 ? 它 和 SSL 记录 集 协 议 的 关系 是 怎样 的 ? 

2. SSL 握手 过 程 中 ,假设 客户 机 验证 服务 器 身份 ,客户 机 通过 查看 服务 器 的 证 书 中 的 
时 间 、CA 签名 、 名 字 等 判断 该 证 书 的 确 是 由 可 信 CA 颁发 的 有 效 证 书 ,此 时 ,是 否 存在 中 间 
人 冒充 服务 器 进行 攻击 的 可 能 ? 

3. SSL 协议 中 , 密 钥 的 计算 过 程 是 怎样 的 ? 共产 生 几 种 密 钥 ? 它们 各 自 的 作用 是 什么 ? 

4. SSH 中 采用 哪 几 种 用 户 认证 方式 ? 它们 各 自 的 特点 是 什么 ? 

5. SOCKSv5 提供 哪些 安全 服务 功能 ? 


有 齐 


应 用 层 安全 协议 


7.1 ”Internet 的 应 用 层 安全 隐患 


Internet 的 应 用 层 处 在 OSI 参考 模型 的 最 高 层 , 因 此 任何 底层 协议 的 不 安全 因素 都 会 
对 其 安全 性 产生 影响 。 应 用 层 的 目的 是 为 网 络 用 户 提供 特定 的 服务 ,如 邮件 传输 ,文件 传 
输 、WWW 服务 .远程 登录 ,域名 服务 和 网 络 管理 等 。 这 些 服 务 通过 应 用 层 协议 实现 ,保证 
应 用 层 的 可 用 性 是 Internet 的 基本 设计 目标 ,然而 由 于 Internet 的 开放 性 和 设计 上 的 缺陷 ， 
各 种 应 用 层 协议 面临 严重 的 安全 威胁 。 


1. 电子 邮件 服务 


电子 邮件 服务 通过 SMTP 协议 进行 传输 。 传统 的 电子 邮件 服务 十 分 脆弱 ,通过 
Internet 发 送 电 子 邮件 时 ,电子 邮件 的 内 容 是 公开 的 ,而且 邮 件 在 到 达 目 的 地 之 前 ,会 经 过 
多 次 转发 ,中 途 可 能 会 经 过 大 学 ,政府 机 构 和 服务 提供 商 等 各 种 复杂 的 网 络 环境 。 因 为 邮件 
服务 器 可 接收 来 自任 意 地 点 的 任意 数据 ,任何 人 只 要 可 以 访问 中 间 的 邮件 服务 器 ,或 访问 电 
子 邮 件 传 输 经 过 的 路 径 , 就 可 以 截获 这 些 信 息 , 甚 至 更 改 、 伪 造 电子 邮件 。 

除了 面临 邮件 泄密 的 安全 威胁 之 外 ,电子 邮件 还 可 能 成 为 黑客 攻击 网 络 的 工具 ,如 
E-mail 欺骗 .E-mail 炸弹 、 电 子 邮件 携带 病毒 等 。 E-mail 欺骗 的 潜在 危害 性 很 大 : 攻击 者 可 
以 通过 电子 邮件 冒充 某 位 用 户 信 任 的 权威 人 士 ( 如 系统 管理 员 ) ,欺骗 用 户 进行 一 些 破 坏 性 
的 或 者 暴露 敏感 信息 的 操作 。E-mail 炸弹 会 在 短 时 间 内 向 接收 者 的 邮箱 内 发 送 成 千 上 万 
封 垃 圾 邮件 ,导致 邮箱 的 溢出 ,甚至 令 邮 件 服务 器 超 负 荷 崩溃 ,产生 “拒绝 服务 ”。“ 特 洛 伊 木 
马 ” 和 网 络 病毒 也 可 携带 在 邮件 中 ,对 邮件 接收 者 的 系统 造成 危害 。 


2. 文件 传输 
FTP 是 为 了 共享 资源 ,方便 用 户 进行 文件 下 载 而 制定 的 文件 传输 协议 ,为 了 提供 这 种 
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服务 ,用 户 必 然 有 对 系统 读 写 的 权限 ,因此 ,攻击 者 常常 利用 FTP 作为 侵入 和 破坏 系统 的 突 
破 口 。 他 们 可 能 利用 FTP 将 一 些 监 控 程 序 装 入 系统 ,以 窃取 管理 员 密 码 ; 也 可 能 利用 FTP 
获取 系统 的 密码 文件 ,从 而 了 解 系统 的 用 户 信息 ; 攻击 者 还 可 以 利用 FTP 的 puts 和 gets 
功能 ,增加 系统 负担 ,严重 情况 下 可 导致 系统 “拒绝 服务 ”。 

匿名 FTP 是 ISP 的 一 项 重要 服务 ,是 Internet 上 使 用 最 广泛 、 信 息 传 输 量 最 大 的 应 用 
之 一 。 利 用 它 可 以 从 Internet 上 不 同 地 点 的 FTP 服务 器 中 查询 并 下 载 各 种 信息 资源 。 然 
而 ,不 正确 的 配置 将 严重 威胁 系统 的 安全 。FTP 的 使 用 者 可 能 利用 这 些 配置 上 的 缺陷 对 系 
统 造成 破坏 (故意 的 或 无 意 的 ) ,因此 需要 保证 使 用 它 的 人 不 会 申请 系统 上 其 他 的 区 域 的 文 
件 ,也 不 能 对 系统 做 任意 的 修改 。 

对 于 非 匿 名 访问 ,FTP 亦 缺 乏 严 格 的 身份 鉴别 机 制 , 这 些 原因 使 得 FTP 容易 成 为 攻击 
者 的 目标 。 


1 


3. 远程 登录 


传统 的 远程 登录 采用 Telnet 协议 实现 。 然 而 Telnet 本 身 没 有 很 好 的 安全 保护 措施 , 容 
易 被 攻击 者 利用 ,成 为 对 主机 及 其 网 络 进行 攻击 的 工具 。 例 如 : Telnet 没有 强力 认证 机 制 ， 
只 是 简单 验证 连接 者 的 用 户 名 和 密码 ,而 远程 用 户 的 用 户 名 和 密码 在 网 络 上 是 明文 传输 的 ， 
容易 被 嗅 探 ; Telnet 传输 的 数据 没有 完整 性 保护 ,面临 被 算 改 的 威胁 。 因 此 ,对 于 入 侵 者 而 
言 ,Telnet 可 能 成 为 一 种 网 络 攻击 工具 ,一 旦 入 侵 者 与 远程 主机 建立 了 Telnet 连接 , 便 可 以 
使 用 、 更 改 甚至 破坏 目标 主机 上 的 软 、 硬 件 资源 ,因此 ,未 加 保护 的 Telnet 服务 被 认为 是 最 
危险 的 服务 之 一 。 


4. 域名 服务 


DNS 采用 简单 的 查询 和 应 答 机 制 进行 域名 解析 ,传统 DNS 资源 记录 没有 保护 措施 , 通 
信 过 程 没 有 鉴别 ,因此 DNS 容易 成 为 攻击 者 的 攻击 目标 或 利用 它 作 为 攻击 手段 对 整个 网 络 
实施 攻击 。DNS 面临 “欺骗 ”"“ 缓 存 中 毒 ”"“ 拒 绝 服务 ”和 * 非 授权 更 新 ”等 多 种 安全 威胁 。 
DNS 服务 器 负责 所 在 区 域 的 域名 解析 ,因此 ,对 DNS 服务 器 和 DNS 系统 的 攻击 ,可 能 导致 
其 辖区 内 的 网 络 产生 严重 混乱 。 例 如 ,如 果 攻 击 者 控制 并 更 改 了 被 攻击 者 网 络 系统 的 DNS 
服务 器 的 DNS 缓存 .并 且 使 用 其 他 IP 地 址 来 替换 其 中 的 某 个 资源 记录 , 则 会 将 提交 域名 解 
析 请 求 的 主机 引入 其 预先 设计 好 的 “陷阱 ”。 


5. WWW 服务 


WWW 服务 易 受 攻击 的 一 个 原因 是 默认 情况 下 该 服务 是 完全 开放 的 ,任何 人 都 可 以 在 
任何 地 方 访问 该 服务 ,HTTP 协议 没有 身份 鉴别 和 机 密 性 保护 机 制 ,因此 ,一 方面 ,攻击 者 
可 以 利用 HTTP 开放 的 端口 对 WWW 服务 器 进行 攻击 ; 另 一 方面 ,服务 器 上 可 能 被 放置 一 
些 恶 意 代码 ,从 而 对 HTTP 客户 端 及 其 主机 、 网 络 产生 危 害 。 由 于 浏览 器 一 般 只 能 理解 基 
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本 的 数据 格式 (如 HTML、JPEG 和 GIF 等 ), 对 其 他 类 型 的 数据 格式 ， os 
程序 来 观察 ,系统 无 法 识别 组 在 其 基本 数据 单元 中 的 有 害 代码 ,因此 ,这 种 恶意 攻击 难以 
防范 。 


6. 网 络 管理 


简单 网 络 管理 协议 (simple network management protocol,SNMP) 主要 是 针对 TCP/IP 
网 络 提 出 的 。 随 着 Internet 的 迅速 发 展 ,SNMP 也 成 为 事实 上 的 网 络 管理 协议 的 标准 ,在 互 
联网 骨干 网 络 设备 和 绝 大 多 数 厂商 的 网 络 产 品 中 ,SNMP 被 广泛 采用 。 然 而 ,传统 SNMP 
协议 也 存在 安全 漏洞 , 它 的 消息 以 明文 形式 发 送 , 这 些 明文 消息 很 容易 被 一 些 网 络 分 析 程 序 
截取 并 解码 ,攻击 者 可 以 通过 分 析 这 些 消 息 的 内 容 获 取 有 关 网 络 资源 的 重要 信息 。SNMP 
协议 面临 伪装 、 算 改 . 窃 听 和 重 放 等 多 种 安全 威胁 。 例 如 ,SNMPvl 和 SNMPv2 采用 
community strings 的 未 加 密 的 密码 实现 认证 服务 ,攻击 者 可 以 通过 网 络 嗅 探 器 (如 sniffer) 
获取 SNMP 的 社区 名 称 , 然 后 对 网 络 设备 及 其 所 在 网 络 实施 攻击 。 

对 于 应 用 层 的 安全 防护 ,可 以 从 多 个 层面 进行 设计 和 实施 ,例如 : 在 网 络 层 采 用 IPSec 
进行 端 到 端的 保护 ; 在 传输 层 和 应 用 层 之 间 采 用 SSL、SSH 以 及 SOCKS 提供 各 种 安全 服 
务 ( 尤 其 对 于 Telnet 和 FTP 等 可 以 采用 SSH 进行 保护 ,防止 密码 泄露 ); 由 于 应 用 层 协议 
一 般 安 装 在 特定 的 应 用 服务 器 上 ,对 这 些 应 用 服务 器 的 安全 设置 也 可 以 在 一 定 程 度 上 提高 
应 用 层 的 安全 ; 此 外 ,还 可 以 通过 防火 墙 `.VPN、 入 侵 检 测 .病毒 防治 和 漏洞 扫描 等 综合 手段 
共同 保护 应 用 层 通 信和 数据 的 安全 。 

另外 ,还 有 一 些 专门 的 网 络 安全 协议 可 以 针对 特定 应 用 层 协 议 进 行 特殊 保护 ,例如 使 用 
S/MIME 保护 SMTP 协议 的 安全 ; 使 用 DNSSEC 保护 DNS 协议 的 安全 等 ; 使 用 SNMPv3 
增强 网 络 管理 协议 的 安全 ; 对 于 Telnet 和 FTP 协议 ,目前 在 应 用 层 主要 采用 SSH 协议 进 
行 保护 ,SSH 协议 见 本 书 第 6 章 。 本 章 主要 从 协议 级 描述 应 用 层 的 安全 技术 ,重点 讲述 
WWW 安全 技术 .电子 邮件 安全 协议 .DNS 安全 协议 和 SNMP 安全 协议 等 


7.2 WWW 安全 


7.2.1 WWW 安全 保障 体系 


WWW 服务 的 安全 是 一 个 十 分 复杂 的 问题 。 由 于 WWW 服务 是 目前 Internet 上 应 用 
最 广泛 的 服务 之 一 ,针对 它 的 攻击 也 最 普遍 ,网 络 协 议 、 操 作 系 统 以 及 安全 管理 上 的 任何 漏 
洞 都 可 能 对 WWW 服务 产生 危害 。 因 此 ,要 保障 WWW 服务 的 安全 ,应 该 根据 实际 的 安全 
需求 ,从 不 同 的 层面 展开 。 

总 的 来 说 ,可 以 把 WWW 服务 的 安全 防护 分 为 增强 WWW 安全 机 制 以 及 保护 Web 站 
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点 的 安全 两 个 方面 进行 。 这 两 个 方面 的 安全 保障 又 包括 许多 具体 的 安全 技术 ,协议 和 措施 ， 
如 图 7. 1 所 示 。 


IPSec 


HTTP 安 全 协议 
Wenn reenemink wr. see 
安全 中 间 件 防火 墙 、 


VPN 、 入 侵 检测 … 
WWW 安 全 振 聊 宛 二 沈 测 
进行 可 靠 配 置 系统 更 新 、 升 级 
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图 7.1 WWW 服务 安全 保障 体系 


图 中 ,WWW 安全 机 制 主要 从 Internet 安全 协议 的 层面 提高 WWW 服务 的 安全 能 力 ， 
可 以 采用 如 下 技术 。 


1. HTTP 安全 协议 

HTTP 安全 协议 包括 HTTP 协议 自身 的 安全 机 制 以 及 SHTTP 协议 两 部 分 内 容 , 前 者 涉 
及 目前 使 用 的 HTTP 协议 提供 的 安全 机 制 , 主 要 是 身份 认证 机 制 ; 后 者 通过 对 现 有 HTTP 协 
议 进 行 扩展 ,形成 SHTTP 协议 ,以 提高 HTTP 协议 的 安全 性 。 安 全 协议 在 7. 2. 2 节 讲 述 。 


2. 其 他 层 安全 协议 和 技术 


其 他 层 安全 协议 和 技术 包括 网 络 层 安全 协议 IPSec, 传输 层 的 SSL 和 SOCKS, 以 及 防 
火 墙 .VPN 和 入 侵 检测 等 多 种 安全 技术 。 

这 些 安全 协议 和 技术 是 具有 普 适 性 的 , 即 不 仅 可 以 用 来 保护 HTTP 协议 ,也 可 以 用 来 
保护 其 他 应 用 层 协议 ,如 FTP、Telnet 和 SMTP 等 。 

其 中 ,使 用 传输 层 安全 协议 SSL 保护 HTTP 协议 是 最 常用 的 安全 技术 ,SSL 协议 之 上 
的 HTTP 称 为 HTTPS(HTTP over SSL) , 它 可 以 为 HTTP 应 用 提供 基于 SSL 的 认证 、 机 
密 性 和 数据 完整 性 等 安全 服务 。HTTPS 需要 WWW 服务 器 支持 SSL 协议 及 公 钥 基础 设 
施 PKI, 这 会 给 用 户 的 使 用 带 来 一 定 的 不 便 : 例如 用 户 很 难 记 住 自己 的 公 钥 和 私 钥 ,必须 依 
靠 某 些 物 理 设 备 , 如 IC 卡 、USK KEY 等 进行 密 钥 存储 ; 再 者 ,服务 器 和 客户 端 必须 依赖 一 
个 证 书 授权 机 构 ( 即 CA) 来 签发 证 书 , 并 且 双 方 都 必须 将 CA 的 公 钥 存放 在 本 地 。 这 对 于 普 
通 HTTP 客户 端 来 说 难以 实现 ,因此 ,目前 HTTPS 协议 在 实际 应 用 中 往往 只 要 求 客户 端 
鉴别 服务 器 的 证 书 , 而 不 要 求 服务 器 鉴别 客户 端 证 书 ,在 建立 SSL 安全 通信 后 (使 用 SSL 记 
录 集 协议 ) ,再 加 密 传 输 用 户 名 和 密码 ,以 实现 客户 端的 身份 认证 。 

IP 层 (例如 采用 IPSec) 和 传输 层 的 安全 机 制 都 可 以 为 HTTP 协议 建立 安全 通信 ,但 它 
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们 都 无 法 根据 应 用 层 传 输 内 容 的 不 同 ,提供 相应 的 安全 服务 。 要 做 到 这 一 点 ,还 必须 依赖 应 
用 层 的 安全 协议 和 技术 。 


3. 安全 中 间 件 


安全 中 间 件 是 指 由 中 间 件 提供 身份 认证 .加 密 信 道 和 访问 控制 等 安全 服务 ,向 HTTP 
及 其 他 应 用 层 协议 提供 安全 服务 的 应 用 编程 接口 。 目 前 已 经 有 不 少 实用 的 身份 认证 和 密 钥 
分 发 系统 ,如 MIT 的 Kerberos,IBM 的 KryptoKnight,DEC 的 SPX 等 。 其 中 Kerberos 由 
于 其 广泛 的 应 用 已 成 为 一 个 事实 上 的 工业 标准 。 由 于 应 用 层 协 议 需 要 使 用 身份 认证 和 密 铀 
分 发 系统 的 API, 这 就 要 求 最 好 能 有 统一 的 API, 使 得 应 用 程序 能 不 做 修改 就 可 以 使 用 不 同 
的 身份 认证 和 密 钥 分 发 系统 提供 的 服务 。 这 种 经 过 标准 化 了 的 API 称 为 GSSAPI(generic 
Security services API) 。 

Web 站 点 的 安全 即 WWW 服务 器 的 安全 , 它 为 HTTP 协议 的 运行 提供 基础 环境 。 
WWW 服务 器 的 安全 涉及 安全 管理 .系统 安全 .服务 器 可 靠 配置 ,以 及 排除 安全 漏洞 等 多 种 
安全 技术 和 手段 


4. 排除 站 点 安全 漏洞 


排除 站 点 中 的 安全 漏洞 是 最 基本 和 有 效 的 安全 措施 ,应 使 站 点 中 的 安全 漏洞 降 至 最 少 。 
可 以 从 以 下 方面 减少 WWW 站 点 的 安全 漏洞 。 

。 防止 未 授权 实体 访问 敏感 数据 引起 的 “物理 漏洞 ”。 

。 降低 “错误 授权 ”的 应 用 程序 引起 的 软件 漏洞 。 例 如 脚本 和 Applet, 它 们 可 能 会 执行 
不 应 该 执行 的 功能 。 

。 尽量 排除 “不 兼容 问题 漏洞 ”, 它 们 一 般 由 不 良 系统 集成 引起 。 一 个 硬件 或 软件 运行 
时 可 能 工作 良好 ,一 旦 和 其 他 设备 集成 后 就 可 能 会 出 现 问题 。 这 类 问题 很 难 确认 ， 
所 以 对 每 一 个 部 件 在 集成 进入 系统 之 前 ,都 必须 进行 测试 。 

。 增 强 密码 保 护 和 文件 保护 等 安全 策略 ,防止 “策略 漏洞 ”。 二 第 须 潮 于 本 3 攻 的 
安全 性 至 关 重 要 ,例如 : 如 果 用 户 使 用 简单 密码 则 很 容易 遭受 "密码 猜测 ”攻击 , 因 
此 ,应 该 为 WWW 站 点 制定 比较 完备 的 安全 策略 。 


5. 进行 可 靠 配置 

进行 可 靠 配置 指 合理 配置 WWW 服务 器 ,以 增强 安全 策略 。 包 括 : 

。 合理 配置 服务 器 ,使 用 它 的 访问 控制 和 安全 特性 。 

。 限制 WWW 用 户 对 系统 的 访问 权限 。 

。 检查 驱动 器 和 共享 文件 的 权限 ,将 系统 设 为 只 读 状态 。 

。 可 将 敏感 文件 置 于 基本 系统 中 ,再 设置 二 级 系统 ,所 有 的 敏感 数据 均 不 向 互联 网 
开放 。 
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。 检查 HTTP 服务 器 使 用 的 Applet 脚本 和 客户 端 交互 作用 的 CGI 脚本 ,防止 外 部 用 
户 执行 内 部 指令 。 


6. 提高 系统 安全 性 


提高 系统 安全 性 指 提高 站 点 所 在 的 操作 系统 的 安全 性 ,包括 及 时 对 系统 升级 和 安装 安 
全 补丁 ; 安装 防 病毒 软件 和 主机 防火 墙 ; 进行 操作 系统 和 站 点 漏洞 扫描 等 ,对 于 发 现 的 漏 
洞 及 时 进行 加 固 。 


7. 安全 管理 和 监控 


应 该 对 WWW 站 点 访问 量 、 故 障 和 告警 信息 等 进行 监视 和 控制 ; 同时 ,应 该 增强 安全 
管理 ,例如 对 于 新 增 的 服务 器 端 程序 和 新 增 的 文件 等 进行 测试 和 安全 控制 。 


7.2.2 HTTP 安全 协议 


1. HTTP 自身 的 协议 安全 


不 同 版 本 的 HTTP 协议 (包括 HTTP0.9、HTTP1.0 和 HTTP1. 1) 提 供 的 安全 服务 能 
力 是 逐步 提高 的 : 相对 于 HTTP0. 9, HTTPI1.0 增加 了 基于 简单 密码 的 基本 身份 认证 方法 ; 
HTTP1. 1 则 新 增 了 额外 的 报头 域 ,对 HTTP1. 0 中 没有 严格 定义 的 部 分 作 了 进一步 的 说 明 。 

HTTP1.0 中 提供 了 一 种 基于 密码 的 认证 办 法 ,使 得 WWW 服务 器 可 以 通过 “基本 身份 
认证 ”支持 访问 控制 。 例 如 ,管理 员 可 以 指定 标准 的 UNIX 密码 文件 或 自己 创建 用 户 密码 
文件 来 管理 用 户 ,并 形成 相应 的 访问 控制 文件 。 当 用 户 请 求 访问 某 个 页 面 或 运行 某 个 CGI 
程序 时 ,WWW 服务 器 读 取 访问 控制 文件 ,从 中 获得 访问 控制 信息 ,并 要 求 客户 端 提交 用 户 
名 和 密码 。 浏 览 器 将 用 户 输入 的 用 户 名 和 密码 经 过 一 定 的 编码 (一 般 是 base64 方式 ) 后 传 
给 服务 器 。 在 检验 了 用 户 身份 和 密码 之 后 ,服务 器 发 送 回 所 请 求 的 页 面 或 执行 相应 的 CGI 
程序 。 用 户 也 可 以 选择 使 用 SSL 建立 加 密 信 道 后 再 进行 身份 认证 ,即将 用 户 密码 和 密码 经 
过 编码 后 从 SSL 加 密 信道 传输 ,这 要 求 WWW 服务 器 必须 支持 SSL 。 

HTTP1. 1 针对 “基本 身份 认证 ”方法 中 以 明文 传输 密码 这 一 弱点 ,补充 了 “摘要 认证 方 
法 (digest authentication scheme)”: HTTP1. 1 不 再 传输 密码 明文 ,而 是 将 密码 经 过 散 列 函 
数 变换 以 后 传递 其 消息 摘要 ( 即 密码 的 散 列 值 ) 。 使 用 摘要 认证 ,攻击 者 不 能 截获 密码 ,只 能 
在 有 限 的 时 间 内 进行 重 放 攻 击 ,这 就 增加 了 攻击 的 难度 。 为 避免 重 放 攻击 ,可 以 使 用 一 次 性 
的 应 答 摘要 等 手段 ,这 要 求 服务 器 记 住 一 段 时 间 内 所 有 收 到 过 的 摘要 值 。 然 而 ,摘要 认证 和 
基本 认证 一 样 ,容易 受到 “中 间 人 攻击 ”, 例 如 一 个 恶意 的 或 被 破坏 的 代理 可 能 将 服务 器 的 摘 
要 认证 应 答 转 换 成 基本 认证 应 答 .从 而 窃取 用 户 密码 。 摘 要 认证 还 要 求 服务 器 存储 一 些 用 
户 认证 信息 (如 用 户 身份 等 ) ,一 旦 这 些 信息 被 嗅 探 和 窃取 ,攻击 者 可 以 得 到 这 个 密码 保护 下 
的 所 有 信息 。 因 此 ,摘要 认证 仍然 不 够 安全 。 
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分 析 可 知 ,HTTP 协议 中 的 “基本 身份 认证 ”和 “摘要 认证 方法 ”存在 潜在 的 安全 问题 : 
浏览 器 以 明文 的 方式 传递 用 户 名 和 密码 或 者 以 接近 明文 (编码 或 散 列 值 ) 的 方式 进行 密码 
传输 ,这 使 得 HTTP 协议 仍然 面临 “窃听 ”假冒 "等 安全 威胁 。 


2. SHTTP 


安全 超 文 本 传输 协议 (secure hyper text transfer protocol,SHTTP) 最 早 由 EIT 公司 
提出 ,由 RFC 2660 进行 规约 。SHTTP 是 专门 针对 HTTP 协议 进行 的 安全 扩展 ,可 以 和 现 
有 HTTP 协议 共存 。 它 对 原 HTTP 协议 报头 进行 了 扩展 ,形成 所 谓 的 “安全 HTTP 报头 ” 
(secure HTTP header), 内 含 加 密 、 鉴 别 和 消息 完整 性 等 信息 。SHTTP 使 用 HTTP 的 
MIME 进行 签名 .验证 和 加 密 ,数据 加 密 可 采用 对 称 或 非 对 称 算法 。 使 用 SHTTP 协议 的 
客户 端 在 HTTP 请 求 报 文 中 ,将 HTTP 头 部 的 版 本 信息 设置 为 secure-http/1. 4, 支 持 
SHTTP 的 服务 器 以 加 密 和 签名 的 消息 对 客户 端的 请 求 进行 应 答 。 在 应 答 消 息 中 ,服务 器 
可 以 把 自己 的 证 书 及 其 签名 信息 一 并 发 送 给 客户 端 ,使 客户 端 对 服务 器 进行 身份 鉴别 ,服务 
器 端 可 以 以 同样 的 方式 鉴别 客户 端的 身份 。 

SHTTP 在 HTTP1. 1 的 基础 上 提供 数据 机 密 性 .身份 认证 ,数据 完整 性 保护 和 不 可 否 
认 性 等 安全 服务 。SHTTP 强调 的 是 协议 的 灵活 性 : 服务 器 和 客户 端 之 间 通 过 协商 可 以 选 
择 不 同 的 密 钥 管理 方法 .安全 策略 以 及 加 密 算法 等 ; SHTTP 支持 数 种 消息 格式 标准 ; 它 不 
要 求 客户 端 使 用 公 钥 证 书 进行 身份 认证 ,相对 于 SSL 而 言 , 降 低 了 对 公 钥 体系 的 要 求 。 

HTTPS 和 SHTTP 都 是 对 原 有 通信 协议 作 了 一 定 修改 而 加 入 安全 机 制 的 ,但 由 于 
SHTTP 协议 的 复杂 性 ,以 及 SSL 协议 的 广泛 应 用 ,SHTTP 协议 目前 尚未 得 到 广泛 支持 和 
使 用 。 


7.3 电子 邮件 安全 协议 


7.3.1 电子 邮件 及 其 安全 性 概述 


如 图 7.2 所 示 ,电子 邮件 系统 通常 由 两 个 子 系统 组 成 : 用 户 代 理 (user agent,UA) 和 邮 
件 传输 代理 (message transfer agent,MTA)。 用 户 代理 是 本 地 程序 ,让 用 户 能 阅读 和 发 送 
电子 邮件 ; 报 文 传输 代理 将 电子 邮件 消息 (例如 SMTP 或 POP3) 从 源 端 传输 到 目标 端 。 

电子 邮件 是 Internet 上 应 用 最 广泛 的 服务 之 一 。 近 年 来 , 随 着 Internet 的 发 展 ,电子 邮 
件 也 以 惊人 的 速度 发 展 ,成 为 一 种 新 的 交流 工具 。 人 们 开始 使 用 电子 邮件 开展 各 种 工作 和 
业务 。 邮 件 应 用 的 不 断 发 展 直接 导致 了 邮件 自身 价值 的 不 断 增加 。 然 而 电子 邮件 系统 是 一 
个 分 散 的 系统 ,每 封 邮件 都 是 根据 一 定 的 路 由 从 一 个 MTA 转发 到 另 一 个 MTA, 几 经 周折 
后 才 送 到 用 户 的 邮箱 中 ,又 因为 传统 的 邮件 没有 加 密 , 所 以 在 这 个 过 程 中 ,邮件 可 能 受到 信 
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所 和 和 和 


4 待 发 函件 队列 六 一 | 报 文 传输 代理 上 
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| 终端 用 户 上 一 一 一 | 用 户 代理 
发 送 者 


TCP 连 接 


让 二 


! ”用 户 邮箱 ”上 -一 | 报 文 传输 代理 


| 终端 用 户 | 一 一 | 用 户 代理 


接收 者 
图 7.2 电子 邮件 在 Internet 上 的 传输 


息 泄露 .内容 自 改 和 身份 假冒 等 威胁 。 

电子 邮件 的 安全 问题 已 经 得 到 了 人 们 的 关注 ,各 种 各 样 的 方案 也 在 特定 领域 中 发 挥 作 
用 。 如 PEM、MOSS、.PGP 和 S/MIME 等 ,这 些 为 人 们 提供 了 多 种 选择 ,但 是 同时 也 使 不 同 
方案 的 邮件 缺乏 互 操作 性 。 这 些 问题 的 产生 主要 是 由 于 目前 还 没有 确定 一 个 实用 的 安全 电 
子 邮件 标准 造成 的 。 

保密 增强 邮件 (privacy enhanced mail, PEM) 是 由 美国 RSA 实验 室 基于 RSA 和 DES 
算法 开发 的 安全 电子 邮件 的 早期 标准 ,主要 描述 了 信息 格式 和 层次 结构 。PEM 只 支持 安全 
的 文本 信息 , 它 的 实现 要 求 有 完善 的 基础 设施 的 支持 , 即 在 PEM 的 上 层 设施 (例如 认证 机 
构 CA) 没 有 建立 起 来 之 前 ,PEM 的 认证 框架 是 不 具有 可 用 性 的 。 另 外 ,PEM 指定 了 一 个 单 
一 ` 呆 板 的 证 书 层 次 结构 ,所 有 的 CA 都 要 信任 同一 个 根 CA, 但 是 很 多 组 织 并 不 想 都 信任 同 
一 个 实体 ,所 有 这 些 大 大 限制 了 PEM 的 发 展 。 

MIME 对 象 安全 服务 (MIME object security services,MOSS) 针 对 PEM 的 不 足 做 了 一 
些 改进 , 它 改 变 了 PEM 只 支持 文本 信息 的 局 面 .可 以 支持 MIME, 在 层次 的 要 求 方面 采用 
了 更 为 自由 的 方式 。 但 MOSS 有 很 多 的 执行 选项 ,这 有 可 能 导致 两 个 不 同 的 开发 人 员 提 出 
的 两 个 MOSS 邮件 无 法 沟通 。 可 以 说 ,MOSS 往往 被 认为 是 一 种 框架 而 不 是 一 个 规范 。 在 
实现 时 还 要 考虑 许多 实际 的 问题 。 

PGP 是 一 个 软件 加 密 程 序 , 它 既是 一 种 规范 也 是 一 种 应 用 ,对 信息 的 加 密使 用 对 称 密 
码 ,相应 的 加 密 密 钥 的 管理 和 发 布 则 由 RSA 算法 实现 ,同时 PGP 使 用 哈 希 算法 、 非 对 称 密 
码 实现 密 钥 交换 、 信 息 完 整 性 检查 和 数字 签名 。PGP 在 信息 加 密 之 前 进行 数据 压缩 ,可 以 
大 大 减少 数据 的 元 余 度 和 加 解密 花费 的 时 间 。PGP 不 是 去 推广 一 个 全 局 的 PKI, 而 是 让 用 
户 自己 建立 自己 的 信任 网 , 即 在 PGP 系统 中 ,信任 是 双方 直接 的 关系 ,或 者 是 通过 第 三 者 、 
第 四 者 的 间接 关系 ,但 任意 两 方 之 间 是 对 等 的 ,整个 信任 关系 构成 网 状 结构 。 这 样 的 结构 既 
利于 系统 的 扩展 ,又 利于 其 他 系统 安全 模式 的 兼容 并 存 。 但 在 这 种 信任 模型 中 ,没有 建立 完 
备 的 信任 体系 ,不 存在 完全 意义 上 的 信任 权威 ,缺乏 有 效 的 信任 表达 方式 ,所 以 它 只 适合 小 
规模 的 用 户 群 体 , 当 用 户 数 量 逐 渐 增 多 时 ,管理 将 变 得 非常 困难 ,用 户 也 会 发 现 其 不 易 使 用 
的 一 面 。 而且 PGP 也 有 其 固有 的 缺点 ,从 保密 强度 来 看 ,PGP 的 安全 薄弱 环节 在 于 对 加 密 
算法 (如 IDEA) 的 会 话 密 钥 的 保护 ,对 会 话 密 钥 采用 邮件 接收 方 的 公 钥 加 密 、 私 钥 解 密 。 所 
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以 ,整个 邮件 内 容 的 保密 完全 依赖 于 邮件 接收 方 私 钥 的 安全 ,而 非 发 送 方 所 能 控制 。 另 外 ， 
已 经 有 人 发 现 一 种 欺诈 手段 , 即 截获 邮件 后 ,只 要 对 邮件 重新 包装 并 发 给 收 件 人 , 收 件 人 得 
到 的 是 一 堆 乱 码 , 当 收 件 人 携带 原件 回信 询问 时 ,就 可 以 破译 加 密 的 电子 邮件 。 应 对 的 这 种 
攻击 的 方法 是 避免 在 回信 询问 时 包含 完整 的 原 邮 件 。 

S/MIME 是 通过 在 RFC 1847 中 定义 的 多 部 件 媒体 类 型 在 MIME 中 打包 安全 服务 的 
一 种 技术 ,可 以 提供 验证 .消息 完整 性 、 数 字 签名 和 加 密 。S/MIME 是 在 PEM 的 基础 上 建 
立 起 来 的 , 它 选择 了 RSA 实验 室 开 发 的 公共 密 钥 加 密 标准 (public-key cryptography 
standard, PKCS) 作 为 它 的 数据 加 密 和 签名 的 基础 , 它 使 用 PKCS#7 数据 格式 作为 数据 报 
文 ,并 使 用 X. 509v3 的 数字 证 书 。S/MIME 格式 是 建立 在 RFC 822 中 定义 的 双 钥 密码 数据 
安全 性 机 制 之 上 的 ,其 公 钥 管理 方案 是 介 于 严格 的 X. 509 证 书 层次 和 PGP 信任 Web 之 间 
的 混合 方法 。S/MIME 必须 对 每 个 客户 机 配置 可 信任 密 钥 表 和 证 书 撤销 表 , 且 证 书 由 证 书 
权威 机 构 签 发 。 在 S/MIME 中 ,认证 中 心 具有 很 高 的 权限 ,能 “偷窥 用户 的 邮件 ,这 就 要 求 
所 有 的 用 户 都 必须 绝对 相信 认证 中 心 ,同时 也 给 电子 邮件 的 安全 带 来 隐患 。 从 这 一 点 来 看 ， 
由 于 PGP 更 具 保密 性 ,所 以 在 企业 内 部 安全 邮件 的 使 用 中 ,PGP 的 实用 性 更 强 。 

PGP 和 S/MIME 是 目前 电子 邮件 加 密 的 两 大 主流 技术 ,都 是 沿用 IETF 的 标准 ,但 两 
者 不 兼容 。PGP 采用 了 分 布 式 的 认证 模式 ,使 用 比较 方便 ,适合 于 公众 领域 和 内 部 网 络 用 
户 之 间 的 安全 信息 交流 ; 而 S/MIME 则 采用 基于 CA 的 集中 式 认 证 模式 ,更 适合 于 电子 商 
务 .政府 机 关 和 公司 企业 之 间 等 对 身份 认证 要 求 比较 高 的 领域 。 PGP 保留 了 用 户 的 个 人 电 
子 邮件 安全 服务 的 选择 。 国 际 电 子 邮 件 标 准 管理 组 织 IMC 希望 形成 安全 邮件 的 统一 标准 。 
但 IMC 的 成 员 意 见 已 经 并 不 一 致 。IMC 只 好 同时 发 展 这 两 种 标准 ,直到 大 家 有 了 统一 的 
迫切 要 求 时 ,再 考虑 统一 标准 之 事 。 但 从 实际 应 用 情况 来 看 ,S/MIME 几乎 是 电子 邮件 厂 
商 的 首选 协议 ,许多 产品 支持 S/MIME, 它 能 让 用 户 很 容易 地 发 送 和 接收 安全 电子 邮件 。 

由 于 是 针对 企业 级 用 户 设计 的 ,S/MIME 现在 已 经 得 到 了 许多 机 构 的 支持 ,并 且 被 认 
为 是 商业 环境 下 首选 的 安全 电子 邮件 协议 。 目 前 市 场 上 已 经 有 多 种 支持 S/MIME 协议 的 
产品 。 但 是 由 于 认证 机 制 依赖 于 层次 结构 的 证 书 认证 机 构 ,仍然 不 适合 国内 普通 用 户 的 使 
用 。 因 此 S/MIME 协议 可 能 作为 商业 和 组 织 使 用 的 工业 标准 而 出 现 ; 相对 来 说 ,支持 PGP 
的 电子 邮件 厂商 少 一 些 。 但 PGP 被 广大 的 个 人 用 户 所 支持 和 信赖 ,尤其 是 它 的 网 状 信任 模 
型 ,具有 很 大 的 灵活 性 和 适应 性 ,大 大 简化 了 部 署 操作 ,因此 对 许多 个 人 用 户 来 说 仍然 具有 
很 大 的 吸引 力 。 

以 下 着 重 分 析 和 描述 S/MIME 、PGP 的 原理 和 工作 过 程 。 


7.3.2 S/MIME 


S/MIME(secure multipurpose internet mail extensions) 协 议 是 专门 用 于 针对 电子 邮件 
消息 进行 鉴别 和 加 密 保护 的 应 用 层 安 全 协议 。S/MIME 是 基于 RSA 的 MIME 电子 邮件 格 
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式 的 安全 扩展 ,是 一 种 用 于 发 送 和 接收 安全 MIME 数据 的 协议 。S/MIME 是 从 PEM 
(privacy enhanced mail) 和 MIME(Internet 邮件 的 附件 标准 ) 发 展 而 来 的 是 一 套 协 议 框架 ， 
它 描述 客户 端 如 何 创建 .操作 、 接 收 和 读 取 经 过 数字 签名 信息 加 密 的 邮件 。S/MIME 被 广 


泛 地 应 用 于 各 种 客户 端 和 电子 邮件 平台 。 
针对 电子 邮件 协议 ,S/MIME 提供 如 下 安全 能 力 。 
。 对 邮件 内 容 进行 加 密 (enveloped data) 。 


。 对 邮件 内 容 进行 数字 签名 (signed data) : 采用 base64 编码 ,这 个 签名 的 消息 只 有 具 


备 S/MIME 能 力 的 接收 者 才能 查看 。 


接收 者 也 可 看 到 消息 内 容 , 但 不 能 鉴别 它 。 
。 同时 进行 鉴别 和 加 密 (signed and enveloped data)。 


对 邮件 进行 明文 签名 (clear signed data): 采用 base64 编码 ,没有 S/MIME 能 力 的 


S/MIME 采用 单 向 散 列 算法 (如 SHA-1、MD5 等 ) 和 公 钥 机 制 的 加 密 体系 ,S/MIME 的 
证 书 格式 采用 X. 509 标准 格式 。S/MIME 认证 机 制 依赖 于 层次 结构 的 证 书 认证 机 构 , 所 有 
下 一 级 的 组 织 和 个 人 的 证 书 均 由 上 一 级 的 组 织 负责 认证 ,而 最 上 一 级 的 组 织 ( 根 证 书 ) 之 间 


相互 认证 ,整个 信任 关系 是 树 状 结构 的 。 


此 外 ,S/MIME 可 完成 密 钥 生成 .证 书 注册 ,证 书 存储 和 查询 等 密 钥 管理 功能 。 


1. MIME 


早期 的 Internet 电子 邮件 有 两 个 核心 协议 : 由 RFC 821 定义 的 SMTP(simple mail 
transport protocol) 协 议和 由 RFC 822 定义 的 邮件 格式 文件 。SMTP 规定 了 在 Internet 节 
点 间 传 送 或 接力 传送 电子 邮件 的 协议 ,默认 使 用 TCP 的 25 端口 。RFC 822 定义 了 一 种 十 


分 简单 的 邮件 格式 ,这 种 格式 的 邮件 只 能 包含 纯 文 本 信息 ,而 且 只 能 是 ASCII 字符 ,这 


了 电子 邮件 的 使 用 。 

RFC 822 明确 地 把 电子 邮件 消息 分 为 两 部 分 : 第 一 部 分 
为 邮件 头 , 其 作用 是 标识 邮件 ; 第 二 部 分 是 邮件 体 。 邮 件 头 
中 包含 若干 数据 字段 ,可 以 在 任何 需要 附加 信息 时 使 用 。 

MIME 是 对 RFC 822 框架 的 扩充 ,目的 是 解决 SMTP 
只 能 传输 ASCII 文本 信息 的 局 限 , 并 约定 对 二 进 制 数据 进 
行 编码 的 方法 。MIME 协议 定义 了 5 个 新 的 .可 以 包含 在 
RFC 822 报 文 首部 的 字段 .分 别 是 MIME-Version、Content- 
Type、 Content-Transfer-Encoding、Content-ID 和 Content- 
Description。 

图 7.3 显示 了 MIME 中 的 新 增 字段 同 标准 邮件 中 RFC 
822 字段 是 如 何 结合 在 一 起 的 。 其 中 : 

。 MIME-Version 参数 的 值 必须 为 1. 0, 指 示 报 文 符合 


限制 


RFC 822 邮 件 头 


图 7.3 MIME 新 增 字 段 与 


RFC 822 的 结合 
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RFC 2045 和 RFC 2046 的 要 求 。 


Content-Type( 内 容 类 型 ) 字 段 是 必需 的 ,该 字段 描述 了 包含 在 报 文 主体 中 的 数据 ， 


使 得 接收 报 文 的 用 户 代理 可 以 选择 合适 的 代理 或 机 制 将 数据 向 用 户 显示 ,或 以 一 种 
合适 的 方式 来 处 理 数据 。Content-Type 字段 定义 了 7 种 基本 内 容 类 型 ,分 别 是 : 


text .message image ,video vaudio .application 和 multipart 。 


Content-Transfer-Encoding 定义 了 两 种 数据 编码 方式 ,其 中 base64 是 一 种 比较 常 


用 的 编码 方法 , 它 将 任意 二 进 制 数据 转换 成 一 种 不 会 被 邮件 传输 系统 破坏 的 格式 。 


Content-ID( 内 容 ID) 字 段 存在 多 个 上 下 文中 ,是 用 来 唯一 标识 MIME 实体 的 标 


Content-Type 是 MIME 中 最 重要 的 字段 ,MIME 规约 的 大 量 工作 集中 在 定义 不 同 的 
内 容 类 型 上 ,这 反映 了 在 多 媒体 环境 中 需要 提供 标准 化 方法 来 处 理 大 量 不 同 信息 类 型 的 


需求 。 


MIME 的 Content-Type 包括 内 容 类 型 和 子 类 型 ,其 格式 为 Content-Type : type/ subtype。 
内 容 类 型 说 明了 数据 的 一 般 类 型 ,而 子 类 型 说 明了 该 数据 类 型 的 特定 形式 。 表 7. 1 列 
出 了 RFC 2046 说 明 的 MIME 内 容 类 型 , 共 包 括 7 个 主要 的 内 容 类 型 和 15 个 子 类 型 。 


表 7.1 MIME 的 内 容 类 型 


类 型 子 类 型 描 述 
i Plain 无 格式 的 正文 ,可 以 是 ASCII 或 ISO 8859 
t 
凡 Enriched 提供 了 更 大 的 格式 灵活 性 
| 不 同 的 部 分 是 独立 的 ,但 是 一 起 传输 。 它 们 应 该 以 其 出 现在 邮件 报 文 
里 的 顺序 呈献 给 接收 者 
i Parrall 与 Mixed 不 同 的 是 将 各 部 分 交 给 接收 者 时 未 定义 顺序 
ultipart 
标识 信息 的 可 选择 的 版 本 。 接 收 者 的 邮件 系统 应 该 将 * 最 好 的 "版 本 显 
Alternative 
示 给 用 户 
Digest 类 似 于 Mixed, 但 每 个 部 分 默认 的 类 型 为 Message/RFC 822 
RFC 822 报 文 主体 符合 RFC 822 标准 的 封装 格式 
Message Partial 以 一 种 对 接收 者 透明 的 方式 对 大 的 邮件 项 进行 分 段 
Extended-body | 格式 中 包含 了 指向 其 他 对 象 的 指针 
Jpeg 图 像 是 JPEG 格式 
Image 
Gif 图 像 是 GIF 格式 
Video Mpeg MPEG 格式 的 视频 
Audio Basic 单 道 8 位 ISDN 编码 ,采样 率 为 8SKHz 
了 PostScript Adobe Postscript 
Application 


Octet-stream 


通常 的 8 位 字 节 组 成 的 二 进 制 数 据 
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2. S/MIME 对 MIME 类 型 的 扩充 


MIME 允许 对 基本 电子 邮件 协议 的 Content-Type 进行 扩充 ,而 S/MIME 又 在 其 基础 
上 增加 了 几 种 新 的 MIME 子 类 型 ,包括 multipart/signed、application/x-pkcs7-signature 和 
Application/x-pkcs7-mime。 
。 Mnultipart 子 类 型 。 在 Multipart 混合 类 型 中 加 入 一 个 子 类 型 。Signed 签名 子 类 型 
标识 一 封 经 过 签名 的 邮件 ,这 种 邮件 由 标准 邮件 部 分 和 邮件 的 数字 签名 两 部 分 组 
成 。 这 种 方法 并 不 对 邮件 进行 加 密 , 因 此 不 具备 S/MIME 功能 的 邮件 代理 也 可 以 
阅读 。 此 时 整体 的 内 容 类 型 字段 Content-Type 定义 为 multipart/signed 类 型 。 
。Application 子 类 型 。S/MIME 创建 了 pkcs7-mime 应 用 子 类 型 来 提供 一 些 邮 件 安 
全 功能 ,每 种 功能 使 用 pkcs7-mime 子 类 型 中 的 一 个 单独 的 参数 ,通过 smime-type 
标志 来 确定 ,smime-type 参数 值 有 signedData、envelopedData 等 。 
图 7.4 显示 了 加 密 和 签名 的 S/MIME 电子 邮件 格式 , 当 MIME 类 型 为 application/x- 
pkcs7-mime,smime-type 一 enveloped-data 时 ,表示 加 密 邮 件 , 当 MIME 类 型 为 multipart/ 


signed 时 ,表示 签名 邮件 。 当 然 ,也 可 以 对 邮件 进行 复合 ,形成 既 加 密 又 签名 的 邮件 。 
加 密 邮 件 签名 邮件 
Content-Type: Content-Type: 
Application/x-pkcs7-mine multipart/signed 


Content-Type:<any> 
(MIME 实 体 ) 


(经 过 加 密 的 MIME 实 体 ， 


一 般 经 过 base64 编 码 ) 


Content-Type: 
application/x-pkcs7- 


Signature 
(签名 信息 ， 一 般 经 过 
base64 编 码 ) 


图 7.4 S/MIME 加 密 和 签名 后 的 邮件 格式 


3. S/MIME 中 密码 算法 的 应 用 


表 7.2 总 结 了 S/MIME 中 使 用 的 加 密 算 法 。 

从 表 中 可 知 ,S/MIME 合并 了 如 下 三 个 公开 密 钥 算法 。 

。 数字 签名 标准 (DSS) 是 用 于 数字 签名 的 推荐 算法 。 

。 Diffie-Hellman 是 用 于 加 密会 话 密 钥 的 推荐 算法 。 实 际 上 S/MIME 使 用 的 是 提供 
了 加 密 /解密 的 Diffie-Hellman 变 体 。 

。 作为 候选 ,RSA 可 以 既 用 于 签名 又 用 于 会 话 密 钥 的 加 密 。 
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表 7.2 S/MIME 使 用 的 加 密 算法 


创建 用 于 形成 数字 签名 的 报 文摘 要 算法 支持 SHA-1 和 MD5 
。 发 送 和 接收 代理 必须 支持 DSS 
。 发 送 和 接收 代理 应 该 支持 RSA 
i 以 形 字 
人 。 接收 代理 应 该 支持 使 用 长 度 为 512 一 1024 位 的 
密 钥 来 验证 RSA 签名 


。 发 送 和 接收 代理 必须 支持 Diffle-Hellman 

。 发 送 代 理应 该 支持 使 用 长 度 为 512 一 1024 位 的 
RSA 加 密 

。 接收 代理 应 该 支持 RSA 解密 

。 发 送 代 理应 支持 3DES 和 RC2/40 加 密 算法 

接收 代理 应 该 支持 3DES 解密 ,必须 支持 RC2/40 

解密 


加 密会 话 密 钥 和 报 文 一 起 传送 


使 用 一 次 性 会 话 密 钥 加 密 传输 的 报 文 


对 于 用 于 数字 签名 的 散 列 函数 ,SVMIME 建议 使 用 160bit SHA-1, 但 需要 支持 128 位 
的 MD5 。 

对 于 报 文 的 加 密 ,推荐 使 用 3DES, 但 是 符合 标准 的 实现 必须 支持 40 位 的 RC2。 

S/MIME 规约 包括 了 决定 使 用 哪 种 内 容 加 密 算法 的 过 程 讨 论 。 本 质 上 ,发 送 代理 需要 做 
两 个 决定 : 第 一 ,发 送 代理 必须 决定 接收 代理 是 否 能 够 对 给 定 的 加 密 算 法 进行 解密 ; 第 二 ， 
如 果 接 收 方 只 能 够 接收 弱 的 加 密 内 容 ,发 送 代 理 必须 决定 使 用 弱 加 密 算法 是 否 可 接收 。 为 
了 支持 这 个 决策 过 程 ,发 送 代 理 可 以 在 它 发 送出 去 的 S/MIME 报 文中 按照 优先 选择 的 次 序 
声明 其 解密 的 能 力 。 接 收 代理 可 以 存储 这 个 信息 以 备 将 来 使 用 。 然 而 收发 双方 并 不 总 是 处 
在 同一 水 平 线 上 。 例 如 ,发 送 方 代理 可 能 试图 使 用 RC2/128 来 加 密 MIME 消息 ,而 接收 方 
可 能 只 具有 RC2/40 解密 的 能 力 。 因 此 S/MIME 协议 定义 了 一 个 过 程 , 当 要 发 送 S/MIME 
消息 时 ,该 过 程 可 以 定义 一 个 最 好 的 算法 。 下 面 是 发 送 方 代理 做 决策 时 应 该 使 用 的 一 些 指 
定 的 规则 。 

已 知 能 力 。 如 果 发 送 代 理 在 此 前 接收 到 了 接收 方 一 个 密码 (包括 密码 算法 等 ) 功 能 
的 列表 , 则 发 送 方 应 该 选择 列 出 的 第 一 个 功能 来 加 密 要 发 送 的 数据 。 

@ 未 知 能 力 但 已 知 使 用 了 加 密 。 如 果 发 送 方 代理 对 接收 方 代理 的 解密 能 力 不 清 楚 , 但 
至 少 从 接收 方 接收 过 一 条 曾经 加 了 密 的 消息 , 则 此 时 发 送 代 理应 该 使 用 以 前 的 那 种 算法 来 
加 密 要 发 送 的 消息 。 

@ 未 知 能 力 且 未 知 S/MIME 版 本 。 当 发 送 方 以 前 没有 与 接收 方 联系 过 ,也 不 知道 接 
收 方 的 安全 能 力 时 ,如 果 发 送 方 愿意 冒 着 接收 者 可 能 不 能 解密 报 文 的 危险 , 则 应 该 使 用 
3DES 算法 ; 如 果 不 愿 冒 这 个 险 ,那么 发 送 方 使 用 RC2/40。 
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4. S/MIME 报 文 处 理 过 程 


如 前 所 述 ,S/MIME 使 用 签名 、 加 密 来 保证 MIME 实体 的 安全 。 一 个 MIME 实体 可 能 
是 一 个 完整 的 报 文 (除了 RFC 822 首部 ), 或 者 MIME 实体 是 报 文 的 一 个 或 多 个 子 部 分 。 
MIME 实体 按照 MIME 报 文 准备 的 一 般 规则 来 准备 。 然 后 ,该 MIME 实体 加 上 一 些 与 安 
全 有 关 的 数据 (如 算法 标识 符 和 证 书 ) 后 ,被 S/MIME 人 处理 以 生成 pkcs 的 对 象 。 然 后 pkcs 
对 象 作为 报 文 内 容 被 封装 成 MIME。 

S/MIME 的 内 容 类 型 有 封装 数据 (envelopedData) ,签名 数据 (signedData) 、 清 澈 签名 
(clearSigning) 和 加 密 且 签名 的 数据 (enveloped-and-signedData) 。 对 不 同 的 数据 类 型 ,其 封 
装 过 程 也 不 一 样 。 

(1) 封装 数据 

准备 一 个 封装 数据 的 MIME 实体 的 步骤 描述 如 下 。 

@ 为 特定 的 对 称 加 密 算法 (RC2/40 或 3DES 算法) 生成 伪 随 机 会 话 密 钥 。 

@ 对 每 个 接收 者 ,使 用 接收 者 的 RSA 公开 密 钥 对 会 话 密 钥 进 行 加 密 。 

@ 对 每 个 接收 者 准备 “接收 者 信息 (RecipientInfo)” 数 据 块 , 该 块 中 包含 发 送 者 的 公开 
密 钥 证 书 、 用 来 加 密会 话 密 钥 算法 的 标识 符 及 加 密 的 会 话 密 钥 。 

@ 使 用 会 话 密 钥 加 密 报 文 的 内 容 。 

RecipientInfo 数据 后 面 跟着 加 密 的 内 容 , 共 同 组 成 封装 数据 ,然后 使 用 radix-64 对 这 个 
信息 进行 编码 。 

为 了 恢复 加 密 的 报 文 ,接收 者 首先 去 掉 base64 编码 ,然后 使 用 私 钥 来 恢复 会 话 密 钥 。 
最 后 使 用 会 话 密 钥 解 密 S/MIME 报 文 的 内 容 。 

(2) 签名 数据 

对 于 签名 数据 ,准备 一 个 MIME 实体 的 过 程 如 下 。 

@ 选择 签名 算法 (如 SHA 或 MD5) 。 

@ 计算 待 签 名 内 容 的 消息 摘要 。 

@ 使 用 发 送 者 的 私 钥 加 密 报 文 的 消息 摘要 。 

@ 形成 “签名 者 信息 (SignerInfo) ”数据 块 , 该 数据 块 中 包含 签名 者 的 公 钥 证 书 、 报 文 消 
息 摘要 算法 标识 符 .用 来 加 密 消 息 摘要 的 算法 标识 符 及 加 密 的 消息 摘要 等 。 

签名 数据 实体 包括 报 文 摘要 算法 标识 符 、 被 签名 的 报 文 和 SignerInfo。 然 后 使 用 
base64 进行 编码 。 

为 了 恢复 签名 的 报 文 和 验证 签名 ,接收 者 首先 要 去 除 base64 编码 ,然后 使 用 签名 者 的 
公开 密 钥 来 解密 报 文摘 要 。 接 收 者 单独 计算 报 文 的 摘要 并 且 将 它 与 解密 后 的 报 文摘 要 相 比 
较 来 验证 签名 。 

(3) 清澈 签名 

发 送 方 已 经 签名 的 数据 可 能 会 被 一 个 与 S/MIME 不 兼容 的 接收 者 收 到 ,这 样 会 导致 初 
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始 的 内 容 不 可 用 。 为 解决 这 个 问题 ,S/MIME 使 用 一 个 可 供 选择 的 结构 , 即 multipart/ 
signed 类 型 。 

Multipart/signed 类 型 的 主体 由 两 部 分 组 成 。 第 一 部 分 可 以 是 任意 的 MIME 内 容 类 
型 ,以 明文 的 形式 保留 并 置 于 消息 中 。 第 二 部 分 的 内 容 是 签名 数据 的 一 种 特殊 情况 , 称 为 独 
立 签 名 , 它 省 略 了 可 能 包含 在 签名 数据 中 的 明文 的 备份 。 

(4) 签名 并 加 密 数据 

这 时 准备 MIME 实体 的 过 程 可 以 先 加 密 数 据 , 然 后 进行 签名 ,也 可 以 先 签名 再 加 密 数 
据 , 即 能 套 使 用 envelopedData 和 signedData 。 


5. S/MIME 证 书 的 处 理 


S/MIME 使 用 符合 X. 509 版 本 3 标准 的 公开 密 钥 证 书 。S/MIME 使 用 的 密 钥 管 理 方 
法 是 严格 的 X. 509 证 明 层 次 和 PGP 的 信任 网 络 的 混合 。S/MIME 的 管理 者 必须 为 用 户 配 
置 可 信任 的 密 钥 表 和 证 书 废止 列表 ,证书 是 经 过 认证 机 构 签名 的 。 
S/MIME 用 户 可 以 完成 如 下 密 钥 管理 功能 。 
。 密 钥 的 生成 : 与 管理 有 关 的 用 户 必须 能 够 生成 单独 的 Diffle-Hellman 和 DSS 密 钥 
对 ,以 及 RSA 密 钥 对 。 每 个 密 钥 对 必须 从 一 个 好 的 .不 确定 的 随机 输入 源 生成 并 且 
采用 安全 的 方式 进行 保护 。 用 户 代理 应 该 生成 768 一 1024 位 之 间 的 密 钥 对 ,并 且 不 
能 生成 小 于 512 位 的 密 钥 对 。 

。 注册 : 用 户 的 公开 密 钥 和 认证 一 起 注册 ,获得 X. 509 公开 密 钥 证 书 。 

。 证 书 的 存储 和 查询 : 用 户 需要 访问 证 书 的 本 地 列表 来 验证 进入 的 签名 和 输出 加 密 
报 文 。 


6. 增强 的 安全 服务 


可 以 使 用 三 种 可 选 的 增强 的 安全 服务 来 扩展 当前 的 S/MIMEv3 安全 及 证 书 处 理 服务 。 

。 签名 收据 : 一 种 可 选 的 服务 , 它 考 虑 的 是 消息 发 送 的 证 明 。 收 据 为 发 送 者 提供 了 一 
种 向 第 三 方 出 示 证 明 的 手段 ,接收 者 不 仅 收 到 了 消息 ,而 且 验 证 了 初始 消息 的 数字 
签名 。 最 后 ,接收 者 对 整个 消息 及 相应 的 签名 进行 签名 作为 接收 的 证 明 。 该 服务 仅 
仅 用 于 签名 的 数据 。 

。 安 全 标签 : 安全 标签 可 以 通过 两 种 方式 来 使 用 ,一 是 描述 数据 的 敏感 级 ,例如 可 以 
使 用 一 个 分 级 的 标签 列表 (如 机 密 、 秘 密 和 限制 等 )。 二 是 使 用 标签 来 控制 授权 和 访 
问 ,描述 哪 一 类 接收 者 可 以 访问 数据 。 

。 安全 邮件 列表 : 当 S/MIME 协议 提供 安全 服务 时 ,发 送 代理 必须 为 每 一 个 接收 者 创 
建 特定 接收 者 的 数据 结构 。 随 着 某 一 个 特定 消息 的 接收 者 的 数目 增加 ,这 一 处 理 可 
能 会 降低 发 送 消息 的 性 能 。 安 全 邮件 列表 代理 可 以 接收 一 个 单独 的 消息 ,并 针对 每 
一 个 接收 者 完成 特定 于 接收 者 的 加 密 。 
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13.3 POP 


PGP(pretty good privacy) 是 由 Philip Zimmermann 设计 的 ,可 以 保护 电子 邮件 的 程 
。PGP 使 用 公 钥 密码 对称 密码 和 消息 完整 性 算法 等 多 种 密码 体制 ,可 提供 认证 (数字 签 
名 ) .机密 性 .压缩 .电子 邮件 兼容 性 和 分 段 等 多 种 服务 ,如 表 7. 3 所 示 。 

表 7.3 PGP 服务 概述 


站 


能 使 用 的 算法 描述 
DSS/SHA 或 消息 的 散 列 信 利用 SHA-1 产生 "将 此 消息 摘要 和 消息 二 起 用 
RSA/SHA 发 送 方 的 私 钥 按 DSS 或 RSA 加 密 
| 将 消息 用 发 送 方 生成 的 一 次 性 会 话 密 钢 按 对 称 加 密 算 痰 加 
消息 加 密 Re 密 。 使 用 接收 方 的 公 钥 按 Diffie Hellman 或 RSA 算法 加 密会 
话 密 钥 , 并 与 消息 一 起 发 送 
压缩 ZIP 消息 在 传送 或 存储 时 可 使 用 ZIP 压缩 


二 本 为 了 对 电子 邮件 应 用 提供 透明 性 ,一 个 加 密 消 息 可 以 用 
电子 邮件 兼容 性 | 基数 64 转换 base64 转换 为 ASCIL 惠 


分 段 为 了 符合 最 大 消息 尺寸 限制 ,PGP 执行 分 段 和 重组 功能 


PGP 对 于 消息 的 加 密 , 分 对 称 加 密 和 非 对称 加 密 两 种 ,其 中 非 对 称 加 密 中 最 常用 的 算 
法 是 RSA。 对 称 加 密 可 使 用 CAST-128 .IDEA 和 3DES 等 多 种 算法 。 消 息 完 整 性 保护 可 
使 用 SHA-1 作为 哈 希 算法 。 签 名 算法 可 使 用 DSS 或 RSA。 本 节 其 余部 分 在 描述 PGP 非 
对 称 加 密 及 签名 时 均 以 RSA 算法 为 例 。 

和 S/SIME 不 同 ,PGP 独立 于 SMTP 协议 。 因 此 ,PGP 不 仅 可 以 被 用 来 保护 电子 邮件 
(包括 正文 和 附件 ) ,也 可 被 用 来 签名 或 (和 ) 加 密 其 他 文件 。PGP 不 支持 X. 509 证 书 对 公 钥 
的 封装 ,而 是 采用 自 定义 的 、 简 单 的 公 钥 证 书 。 

PGP 在 加 密 前 对 邮件 消息 内 容 进 行 压 缩 处 理 ,PGP 内 核 可 以 使 用 PKZIP 算法 压缩 加 
密 前 的 明文 。 一 方面 ,对 电子 邮件 而 言 ,压缩 后 再 经 过 radix-64( 即 MIME 的 base64 格式 ) 
编码 可 以 比 明 文 更 短 , 这 就 节省 了 网 络 传输 的 时 间 和 存储 空间 ; 另 一 方面 ,明文 经 过 压缩 
后 ,相当 于 经 过 一 次 变换 ,对 明文 攻击 的 抵御 能 力 更 强 。 

由 于 PGP 的 安全 高效、 易于 实现 和 使 用 , 它 已 经 成 为 保护 电子 邮件 最 常用 的 方法 。 


1. PGP 密 钥 的 产生 和 保存 

由 于 PGP 提供 加 密 、 签 名 、 密 钥 及 密码 保护 等 多 种 安全 服务 ,系统 需要 产生 并 保存 各 种 
不 同 的 密 钥 ,如 RSA 公 钥 .RSA 私 钥 、 随 机 密码 (密码 的 散 列 值 ) 和 会 话 密 钥 等 。 这 些 密 钥 
是 和 PGP 对 等 实体 相关 的 一 组 密 钥 , 即 每 个 对 称 实体 之 间 需 要 保留 和 它们 相关 的 各 种 密 
钥 。 因 此 ,由 于 系统 中 具有 多 对 PGP 对 等 实体 ,需要 保存 多 组 密 钥 。 密 钥 需要 一 种 安全 、 系 
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统 的 方法 进行 存储 和 组 织 , 以 便 有 效 地 使 用 。PGP 在 每 个 节点 提供 一 对 数据 结构 ,一 个 用 
来 存储 该 节点 与 其 所 有 对 等 实体 之 间 的 公 钥 / 私 钥 对 ( 即 RSA 私 钥 ) , 称 为 私 钥 环 ; 另 一 个 
用 来 存储 该 节点 所 知道 的 所 有 对 等 实体 的 公 钥 , 称 为 公 钥 环 。 

图 7.5 说 明了 PGP 中 密 钥 对 的 生成 过 程 。 图 的 左边 是 用 户 提供 的 信息 。 

(1) 公 钥 / 私 钥 对 的 产生 和 保存 

PGP 中 ,RSA 公 钥 用 来 加 密会 话 密 钥 或 进行 邮件 的 签名 验证 ,RSA 私 钥 用 来 对 邮件 签 
名 或 解密 由 公 钥 加 密 的 会 话 密 钥 。 

如 图 7.5 所 示 , 系 统 产生 的 随机 数 和 用 户 指 定 的 密 钥 长 度 作为 素数 生成 的 输入 ,使 PGP 
得 到 两 个 大 的 素数 。PGP 使 用 这 两 个 素数 生成 一 个 公开 密 钥 和 一 个 与 之 关联 的 秘密 密 钥 。 


一 | 公 钥 证 书 ~ Pubring .pgp | 
密 钥 长度 全 和 随机 烧 )-| 和 未 数 


任意 | 


随机 数 
用 户 密码 


一 一 | RSA 公 钥 


RSA 私 钥 


ee 一 -se .pgp 


128 位 


密 的 
— Rendseed -pgp| 


图 7.5 PGP 密 钥 对 生成 过 程 


上 面 产生 的 用 户 私 钥 ( 这 里 指 RSA 私 钥 ) 在 PGP 中 是 要 加 密 ( 对 称 加 密 ) 保 存 的 ,加 密 
采用 对 称 密码 ,加密 密 钥 为 用 户 密码 的 散 列 值 。 一 个 用 户 可 以 拥有 多 个 公 钥 / 私 钥 对 ,以 便 
随时 更 换 , 这 些 私 钥 构 成 的 集合 被 保存 在 私 钥 环 文件 中 。 

因此 ,PGP 按照 下 面 的 方式 保存 私 钥 : 用 户 密码 首先 经 过 哈 希 函数 (如 图 7.5 中 的 
SHA-1) 产 生 一 个 128 位 的 散 列 值 。 以 这 个 128 位 的 散 列 值 作为 对 称 密码 (如 图 7. 5 中 的 
IDEA 算法 ) 的 密 钥 ,使 用 对 称 加 密 算 法 对 私 钥 进行 加 密 , 然 后 将 加 密 后 的 RSA 私 钥 和 对 应 
的 公 钥 (不 加 密 ) 保 存 到 一 个 私 钥 环 文件 中 (如 图 7. 5 中 的 secring. pgp) 。 使 用 私 钥 时 ,需要 
从 私 钥 环 中 取出 加 密 的 密 钥 ,进行 解密 后 还 原 出 RSA 私 钥 。 
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(2) 公 钥 的 分 发 和 保存 

PGP 中 ,RSA 私 钥 用 来 对 邮件 签名 或 解密 由 公 钥 加 密 的 会 话 密 钥 。 

因此 ,对 于 用 户 自身 的 公 钥 ,除了 要 把 它 和 相应 的 私 钥 ( 经 过 密码 加 密 ) 共 同 保存 到 私 钥 环 
文件 中 之 外 ,PGP 还 需要 做 如 下 处 理 : 把 用 户 标 识 符 、 公 钥 及 其 他 相关 信息 ,形成 自己 的 公 钥 
证 书 ( 非 X. 509 格式 ) ,并 将 其 存储 到 一 个 公 钥 环 文件 中 (如 图 7. 5 中 的 pubring. pgp 中 )。 

在 用 户 配 置 好 密 钥 对 的 时 候 , 如 果 需 要 接收 PGP 加 密 信息 ,就 必须 把 自己 的 公 钥 分 发 
给 对 等 实体 。 分 发 公 钥 的 途径 如 下 。 

Q@ 将 自己 的 公 钥 环 文件 复制 给 别人 。 

@ 用 系统 提供 的 功能 导出 公开 密 钥 , 存 于 文件 中 ,然后 以 电子 邮件 或 者 其 他 方式 发 送 
给 别人 。 

@ 使 用 互联 网 上 的 公 钥 服务 器 把 公 钥 发 布 出 去 。 

对 于 从 别 的 用 户 接 收 到 的 公 钥 ,PGP 用 户 将 其 保存 到 自己 的 公 钥 环 文件 中 ,以 供 加 密 
或 验证 签名 时 使 用 。 

(3) 随机 数 种 子 和 会 话 密 钥 的 产生 与 保存 

PGP 中 ,会 话 密 钥 用 来 加 密 发 送 的 邮件 体 ,提供 机 密 性 服务 。 而 会 话 密 钥 本 身 需 要 使 
用 RSA 公 钥 加 密 后 发 送 给 对 等 实体 。 

如 图 7.5 所 示 ,PGP 的 会 话 密 钥 是 一 个 随机 数 ( 称 为 随机 数 种 子 ), 它 基于 ANSIX. 917 
格式 ,由 系统 中 的 随机 数 生成 器 产生 。 例 如 随机 数 生成 器 从 用 户 按键 盘 的 时 间 间 隔 取 得 随 
机 数 种 子 。 

系统 产生 的 随机 数 种 子 同样 被 加 密 ( 可 以 采用 和 加 密 RSA 私 钥 相同 的 方式 ,使 用 用 户 
密码 的 散 列 值 进行 对 称 加 密 ) ,然后 存 人 文件 中 (如 图 7. 5 中 的 randseed. pgp) 。 

可 以 看 出 ,PGP 每 次 加 密 都 使 用 一 个 随机 的 会 话 密 钥 ,并且 进 行 加 密 保存 ,从 而 加 强 了 
PGP 密 钥 系统 自身 的 安全 性 ,使 得 PGP 可 以 抵抗 已 知 明文 和 选择 明文 攻击 。 


2. 加 密 电 子 邮 件 

加 密 电子 邮件 ,提供 机 密 性 服务 是 PGP 的 一 项 基本 功能 ,需要 使 用 非 对 称 加 密 和 对 称 
加 密 相 结 合 的 密码 体制 实现 。 首 先 , 密 钥 管理 模块 根据 用 户 输入 的 收 信人 标识 信息 ,找到 收 
件 人 的 公开 密 钥 。 然 后 ,一 方面 ,随机 数 发 生 器 产生 只 使 用 一 次 的 128 位 会 话 密 钥 ,使 用 对 
称 密码 (如 IDEA 算法 ) 和 该 会 话 密 钥 对 明文 邮件 (一 般 是 压缩 后 的 ) 进 行 加 密 , 生 成 密 文 邮 
件 ; 另 一 方面 , RSA 算法 使 用 收 件 人 的 公 钥 对 该 会 话 密 钥 进行 RSA 加 密 。 最 后 ,PGP 把 
RSA 加 密 后 的 会 话 密 钥 和 加 密 后 的 密 文 邮件 合并 在 一 起 ,形成 一 个 新 的 消息 ,通过 SMTP 
协议 发 送 至 接收 方 。 接 收 方 收 到 邮件 后 首先 解密 出 会 话 密 钥 ,然后 通过 会 话 密 钥 解密 密 文 
邮件 后 还 原 出 原始 明文 邮件 的 内 容 。 

图 7.6 给 出 了 发 送 方 加 密 邮 件 和 接收 方 解 密 邮件 的 过 程 。 其 中 ,发 送 方 加 密 邮 件 的 主 
要 步 又 描述 如 下 。 
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发 件 人 A : 加 密 邮 件 邮件 传输 收 件 人 B : 解密 邮件 


1 
Eb( 发 件 人 RSA 公 钥 )| Db( 收 件 人 RSA 私 钥 ) 


上 
加 密 | 加 密 
128 位 后 的 Ks 1! 后 的 Ks 
随机 数 人 一 ks 1 RSA 解 密 
上 
1 
1 
1 
1 
| 
岂 -2) 一 | | -2 一 邮 
件 | 压缩 压缩 后 IDEA 合并 1 IDEA 压缩 后 解压 件 
过 程 ”的 邮件 ”加密 邮件 密 文 | 邮件 密 文 解密 。 的 邮件 过 程 
上 


图 7.6 使 用 PGP 加密 和 解密 邮件 的 过 程 


@ 生成 明文 电子 邮件 报 文 及 用 作 加 密 该 报 文 的 随机 会 话 密 钥 。 

@ 采用 某 种 对 称 密 钥 算 法 (如 图 7.6 中 的 IDEA) ,使 用 会 话 密 钥 对 经 过 压缩 后 的 邮件 
报 文 进行 加 密 ,形成 邮件 密 文 。 

@ 采用 RSA 算法 ,使 用 接收 者 的 RSA 公 钥 对 会 话 密 钥 进 行 加 密 , 并 附加 到 邮件 密 文 
前 面 。 

收 件 人 解密 时 ,首先 需要 取得 自己 的 RSA 私 钥 : 用 户 输入 保护 私 钥 的 密码 ,这 个 密码 
经 过 散 列 函数 (如 图 7.6 中 的 SHA-1) 得 到 一 个 128 位 的 字 串 。 然 后 ,PGP 把 这 个 字 串 作为 
密 钥 ,使 用 对 称 密 钥 算法 (如 图 中 的 IDEA) 解 密 私 钥 环 文件 中 加 密 的 私 钥 ,得 到 用 户 的 RSA 
私 钥 。 随 后 ,接收 者 采用 RSA 算法 ,使 用 自己 的 私有 密 钥 解密 和 恢复 会 话 密 钥 ,接着 使 用 会 
话 密 钥 解密 电子 邮件 密 文 。 


3. 签名 电子 邮件 


发 送 方 对 邮件 进行 签名 时 ,首先 应 该 得 到 自己 的 RSA 私 钥 ,方法 和 上 述 解密 过 程 相同 ， 
需要 使 用 一 个 密码 ,PGP 系统 将 使 用 该 密码 解密 私 钥 环 文件 中 的 RSA 私 钥 。 同 时 ,用 户 将 
编辑 好 的 邮件 经 过 散 列 函数 运算 后 得 到 邮件 的 散 列 值 。 随 后 ,使 用 签名 者 的 RSA 私 钥 对 其 
进行 RSA 加 密 , 形 成 发 送 后 的 签名 。 最 后 ,把 邮件 原文 和 签名 合并 后 通过 SMTP 发 送出 
去 ,从 而 完成 签名 邮件 的 全 过 程 。 

图 7.7 给 出 了 发 送 方 签名 邮件 和 接收 方 验 证 签名 的 过 程 , 图 中 省 去 了 压缩 邮件 的 过 程 。 
发 送 方 签名 邮件 的 主要 步骤 描述 如 下 。 

Q@ 创建 邮件 报 文 。 

@ 从 密 钥 环 文件 中 取得 自己 的 RSA 私 钥 ( 加 密 的 私 钥 ) ,并 进行 解密 。 
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发 件 人 A: 签名 邮件 邮件 传输 收 件 人 B : 鉴别 邮件 签名 


Ea( 收 件 人 
后 RSA 公 钥 ) 
息 
| 


1 
1 
1 
1 
1 
| 
1 
Da( 发 件 人 ! 
RSA 私 钥 ) 1 1 
1 
RSA 1 了 
2 1 上 较 
; | | 
由 (HH 一 一 1 
件 | 哈 希 ”消息 加 密 后 1 
函数 。” 散 列 的 消息 | 消息 
散 列 | 邮件 ”函数 。 散 列 
1 


明文 
图 7.7 使 用 PGP 进行 签名 和 验证 签名 的 过 程 


@ 使 用 散 列 函 数 (如 图 中 的 SHA-1) 生 成 邮件 的 散 列 值 。 

@ 使 用 自己 的 RSA 私 钥 , 采 用 RSA 算法 对 散 列 值 进行 加 密 , 附 加 在 明文 邮件 的 前 面 。 

收 件 人 得 到 带 有 数字 签名 的 邮件 后 ,需要 对 数字 签名 进行 鉴别 。PGP 密 钥 管 理 模块 首先 
从 公 钥 环 文件 中 取出 签名 人 的 RSA 公 钥 ,利用 RSA 算法 恢复 出 发 信者 加 密 的 散 列 值 。 然 后 ， 
PGP 重新 计算 明文 邮件 的 散 列 值 ,与 前 者 进行 对 比 , 并 根据 比 对 结果 决定 签名 是 否 有 效 。 

分 析 可 知 ,PGP 加 密 的 基本 过 程 中 使 用 了 对 称 、 非 对 称 密码 ,而 签名 的 基本 过 程 中 使 用 
了 非 对 称 密码 和 哈 希 函数 。 当 然 ,无 论 是 加 密 还 是 签名 ,为 了 取得 或 加 密 RSA 私 钥 , 均 使 用 
对 称 密码 及 散 列 ( 哈 希 ) 函 数 。 

可 以 将 加 密 和 签名 一 起 使 用 ,从 而 提供 更 完备 的 安全 服务 (协议 的 处 理 过 程 如 图 7.9 和 
图 7. 10 所 示 )。 首 先 为 明文 生成 签名 并 附加 到 邮件 首部 。 然 后 使 用 对 称 密码 对 明文 报 文 和 
签名 进行 加 密 , 再 使 用 RSA 对 会 话 密 钥 进行 加 密 。 最 后 ,把 包含 签名 的 密 文 和 加 密 后 的 会 
话 密 钥 一 起 发 送 给 收 件 人 。 


4. PGP 的 消息 格式 

PGP 的 数据 信息 ,如 加 密 和 签名 的 信息 、 密 钥 证 书信 息 、 信 任 度 信息 等 由 一 系列 记录 构 
成 。 每 个 记录 包含 一 个 数据 块 部 分 ,并 有 一 个 类 型 标识 指明 此 记录 包含 的 数据 块 部 分 的 含 
义 , 每 个 记录 可 以 称 为 一 个 分 组 。 如 图 7. 8 所 示 ,一 个 记录 (分 组 ) 由 两 部 分 构成 : 分 组 头 部 
和 分 组 体 , 并 且 分 组 头 部 和 分 组 体 的 长 度 都 是 可 变 的 。 

分 组 头 部 的 第 一 个 字 节 称 为 分 组 类 型 标识 (本 文中 ,每 个 字 节 均 为 8 位 ) , 它 决定 了 分 组 
头 部 的 格式 及 分 组 体 的 内 容 。 头 部 的 其 余部 分 是 长 度 字段 , 它 指出 了 分 组 体 的 长 度 , 其 长 度 
是 可 变 的 ,因此 ,PGP 的 分 组 头 部 的 长 度 也 是 可 变 的 。 分 组 格式 的 一 个 特例 是 分 组 长 度 不 
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Te 


图 7.8 PGP 的 分 组 格式 


能 预先 知道 ,一 个 分 组 中 将 出 现 若干 个 长 度 字段 ,分 组 体 的 内 容 也 被 分 割 成 若干 个 部 分 。 

分 组 类 型 标识 字段 为 一 个 字 节 长 ,如 图 7. 8 所 示 。 其 中 最 高 位 目前 没有 被 使 用 ,其 值 始 
终 为 1, 次 高 位 是 为 了 PGP 的 版 本 兼容 性 考虑 。PGP 的 各 个 版 本 中 ,存在 着 两 个 版 本 的 信 
息 分 组 格式 ,PGP 的 当前 版 本 为 版 本 4, 在 此 版 本 的 PGP 程序 中 ,次 高 位 的 值 为 1。 字 段 的 
其 他 位 作为 分 组 的 标识 , 共 可 以 构成 64 种 类 型 的 PGP 分 组 。 常 用 的 分 组 包括 (括号 中 为 分 
组 类 型 的 编号 ) 如 下 。 

。 使 用 公开 密 钥 加 密 算法 加 密 的 会 话 密 钥 分 组 (1) 。 

。 签名 分 组 (2) 。 

。 私 钥 信 息 分 组 (5) 。 

。 公 钥 信息 分 组 (6) 。 

。 压缩 数据 分 组 (8) 。 

。 对 称 加 密 的 数据 分 组 (9) 。 

。 信任 度 分 组 (12) 。 

。 用 户 标识 符 分 组 (13) 。 


5. 密 钥 标识 和 密 钥 环 

如 前 所 述 ,PGP 允许 一 个 用 户 拥 有 多 个 公 钥 / 私 钥 对 ,这 样 用 户 在 加 密 或 签名 时 可 以 不 
时 改变 密 钥 对 ,并 且 在 同一 时 刻 ,多 个 密 钥 对 可 以 在 不 同 的 通信 对 等 实体 之 间 进 行 交互 ,从 
而 提高 系统 的 安全 性 和 灵活 性 。 因 此 ,PGP 中 ,用 户 和 他 们 的 密 钥 对 之 间 不 存在 一 一 对 应 
关系 (这 个 问题 在 遵循 X. 509 证 书 格式 的 系统 中 是 不 存在 的 ,一 般 一 个 用 户 对 应 一 个 
X. 509 证 书 , 并 且 由 证 书 编号 来 标识 该 证 书 )。 这 就 需要 某 种 手段 来 标识 每 次 签名 或 加 密 对 
应 的 具体 的 密 钥 ,以便 接收 者 正确 进行 签名 验证 和 邮件 解密 。 例 如 ,一 个 用 户 拥有 多 个 公 
钥 / 私 钥 对 时 ,接收 者 应 该 可 以 知道 发 送 者 使 用 了 哪个 公 钥 来 加 密会 话 密 钥 ,以 便 使 用 相应 
的 私 钥 进 行 解 密 。 

为 了 有 效 标识 各 种 密 钥 ,PGP 系统 中 引入 了 密 钥 标识 符 (Key ID): PGP 给 每 个 用 户 的 
公 钥 / 私 钥 对 指定 一 个 系统 中 唯一 的 Key ID。 这 个 Key ID 由 公 钥 的 最 低 64 位 组 成 ,这 个 
长 度 足 以 使 密 钥 标识 符 重复 概率 非常 小 。 在 PGP 用 户 的 密 钥 环 (包括 私 钥 环 和 公 钥 环 ) 文 
件 中 ,该 密 钥 标识 符 和 对 应 的 私 钥 或 公 钥 一 起 存储 。 并 且 , 这 个 密 钥 标识 符 将 随 加 密 或 签名 
后 的 消息 一 起 发 送 给 对 等 实体 。 
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典型 的 PGP 私 钥 环 和 公 钥 环 的 存储 结构 如 表 7.4 和 表 7. 5 所 示 。 
表 7.4 PGP 私 钥 环 的 存储 结构 


时 间 鹤 密 钥 标识 符 公 钥 用 户 标识 符 


表 7.5 PGP 公 钥 环 的 存储 结构 


用 户 密 钥 签名 


私 钥 环 文件 中 有 时 间 鹤 (timestamp) 、 密 钥 标 识 符 (Key ID) 、 公 钥 和 加 密 后 的 私 钥 、 用 户 
标识 符 (User ID) 等 字段 。 其 中 的 User ID 表示 私 钥 的 拥有 者 ,可 以 是 用 户 的 电子 邮件 地 
址 ,也 可 以 是 一 个 名 字 。 

公 钥 环 文件 中 除了 包括 和 私 钥 环 中 类 似 的 字段 外 ,还 包括 PGP 公 钥 证 书 的 内 容 。 证 书 
中 包括 签名 字段 , 它 是 某 个 实体 对 该 公 钥 进 行 的 签名 ,其 他 字段 包括 拥有 者 信任 (owner 
trust)、 密 钥 合 法 性 (key legitimacy) 和 签名 信任 (signature trust) ,这 些 字 段 描述 PGP 的 公 
钥 信任 度 ,该 部 分 内 容 见 “6. PGP 信任 关系 ”中 的 信任 模型 。 

图 7.9 和 图 7.10 中 描述 了 PGP 中 发 送 和 接收 经 过 签名 的 加 密 邮 件 时 , 公 钥 环 、 私 钥 环 
的 操作 ,以 及 加 密 、 签 名 的 完整 过 程 , 图 中 的 发 件 人 为 A, 收 件 人 为 B。 


了 

密码 字 Ei 

一 On) | 会话 密 角 + 连接 
公 钢 环 | 短 和 的 权 胃 攻 ， 全 


私 钥 环 Ki 用 户 A 的 公 钥 DC: 对 称 解密 
选择 Kitbs 用户 的 和 胃 日， 散 到 明 数 


IDB 一 一 一 一 | 
选择 二 
IDA 加 密 
过 的 


:+ 非 对 称 解 密 。。 EP， 非 对 称 加 密 
Ne A 的 用 户 标识 符 
IDB: B 的 用 户 标 识 符 
RNG: 随机 数 发 生 器 


Key ID 
Kra 
消息 
摘要 
M 明文 消息 
加 密 的 
签名 消息 


图 7.9 发 送 经 过 加 密 的 签名 邮件 的 过 程 
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发 送 方 首先 为 邮件 产生 消息 签名 ,然后 加 密 签 名 消息 。 用 户 A 根据 自己 的 用 户 标识 符 
从 其 私 钥 环 中 取出 经 过 加 密 的 私 钥 , 系 统 对 加 密 私 钥 进 行 解密 后 还 原 出 用 户 A 的 私 钥 。 随 
后 ,用 户 A 使 用 该 私 钥 对 邮件 消息 进行 签名 ,同时 从 自己 的 私 钥 环 中 取出 该 密 钥 对 应 的 
Key ID, 附 加 在 签名 后 的 邮件 消息 中 。 发 送 方 利 用 随机 数 生 成 器 生成 加 密 消 息 使 用 的 会 
密 钥 ,并 使 用 会 话 密 钥 加 密 签名 后 的 邮件 。 然 后 ,根据 接收 方 的 用 户 标识 符 从 自己 的 公 钥 环 
中 取出 接收 方 的 公 钥 ,并 使 用 该 公 钥 加 密会 话 密 钥 。 同 时 ,从 自己 的 公 钥 环 中 取出 该 密 钥 对 
应 的 Key ID。 发 送 方 将 加 密 的 会 话 密 钥 和 加 密 后 的 签名 邮件 ,以 及 接收 方 的 Key ID 合并 ， 
结束 消息 处 理 过 程 。 注 意 , 发 送 方 的 消息 中 含有 发 送 方 和 接收 方 的 密 钥 标 识 符 


码 字 

一 -Ca ) 公 钥 环 二 co 

Ks: 会 话 密 : 连接 

私 钥 环 Ks 介 米 网 y 妇 此, 蔷 

Kua: 用 户 A 的 公 钥 ”DC: 对 称 解 密 
Krb: 用 户 B 的 私 钥 ”H: 散 列 函数 
Kub: 用 户 B 的 公 钥 
DP: 非 对 称 解 窗 ” ”EP: 非 对 称 加 密 
IDA: A 的 用 户 标识 符 
IDB: B 的 用 户 标识 符 
RNG: 随机 数 发 生 器 


加 密 
| ia 


私 钥 
(DC 
接收 者 的 Key ID 本 发 送 者 的 Key ID 


加 密 的 K 会 话 | 加 密 过 的 摘要 
| | 密 钥 Ks | 加密 过 的 捕 要 | 


力 二 的 全 人 
加 密 过 的 


图 7.10 接收 加 密 的 签名 邮件 后 的 处 理 过 程 


在 接收 方 , 用 户 B 首先 解密 消息 ,然后 验证 签名 : 用 户 BB 根据 消息 中 的 Key ID( 接 收 方 

的 Key ID) 从 自己 的 私 钥 环 中 取出 经 过 加 密 的 私 钥 ,系统 对 加 密 存储 的 私 钥 解 密 后 还 原 出 

用 户 B 的 私 钥 。 随 后 ,接收 方 利用 私 钥 解 密 出 会 话 密 钥 , 进 而 使 用 会 话 密 钥 解 密 加 密 的 签 

名 邮件 。 最 后 ,接收 方 根据 签名 消息 中 附加 的 Key ID( 发 送 方 的 Key ID) 从 自己 的 公 钥 环 中 
取出 发 送 方 的 公 钥 ,对 签名 进行 鉴别 ,完成 消息 处 理 过 程 。 


6. PGP 信任 关系 
(1) 公 钥 可 信和 度 对 系统 安全 性 的 影响 


由 于 没有 可 信 的 第 三 方 签名 和 颁发 公 钥 证 书 ,PGP 中 公 钥 的 发 布 可 能 存在 安全 性 问 
题 ,例如 公 钥 被 自 改 导致 使 用 的 公 钥 与 公 钥 持 有 者 的 公 钥 不 一 致 。 这 在 公 钥 密码 体系 中 是 


第 7 章 应 用 层 安全 协议 207 


很 严重 的 安全 问题 。 因 此 必须 帮助 用 户 确认 使 用 的 公 钥 是 可 信 的 。 公 钥 信 任 管理 可 以 克服 
PGP 中 密 钥 分 配 不 安全 ,不 方便 的 缺点 。 

以 用 户 A 和 用 户 B 通信 为 例 , 现 假设 用 户 A 想 给 用 户 B 发 送 电子 邮 件 。 首 先 , 用 户 A 
必须 获取 用 户 B 的 公 钥 ,用户 A 通过 下 载 或 其 他 途径 得 到 B 的 公 钥 ,并 使 用 它 加 密 邮件 , 然 
后 把 加 密 后 的 邮件 发 送 给 B。 

此 时 ,攻击 者 C 潜 入 网 络 中 , 侦 听 并 截获 了 用 户 B 的 公 钥 ,然后 在 自己 的 PGP 系统 中 
以 用 户 B 的 名 字 生 成 密 钥 对 中 的 公 钥 ,替换 了 用 户 B 的 公 钥 ,并 放 在 网 络 上 或 直接 以 用 户 B 
的 身份 把 更 换 后 的 用 户 B 的 “ 公 钥 ?发 给 用 户 A。A 用 来 发 送 邮 件 的 公 钥 是 C 伪装 B 生成 
的 公 钥 (A 得 到 的 B 的 公 钥 实际 上 是 C 的 公 钥 / 密 钥 对 ,用 户 名 为 B)。 这 样 一 来 ,B 收 到 A 
的 加 密 邮 件 后 就 不 能 用 自己 的 私 钥 解密 该 密 文 邮件 了 ,导致 系统 的 混乱 。 用 户 C 还 可 伪造 
用 户 B 的 签名 给 A 或 其 他 人 发 信 , 因 为 A 手中 B 的 公 钥 是 假冒 的 ,用 户 A 会 以 为 该 邮件 的 
确 来 自用 户 B。 于 是 C 就 可 以 用 他 手中 的 私 钥 来 解密 A 给 B 的 信 , 还 可 以 用 BB 真正 的 公 钥 
来 转发 A 给 B 的 信和 ,甚至 还 可 以 改动 A 给 B 的 信 。 

防止 算 改 公 钥 的 方法 有 多 种 ,例如 可 以 直接 从 对 方 的 手中 得 到 其 公 钥 。 此 外 ,还 可 以 通 
过 电话 认证 密 钥 ,如 在 电话 上 以 radix-64 的 形式 口述 密 钥 或 密 钥 指纹 , 密 钥 指纹 (keys 
fingerprint) 是 PGP 生成 密 钥 的 160 位 的 SHA-1 摘要 (16 个 8 位 十 六 进 制 )。 这 两 种 方法 
均 有 使 用 不 便 的 局 限 性 。 此 外 ,可 以 像 X. 509 证 书 体制 那样 ,引入 由 一 个 用 户 信任 的 机 构 
担当 第 三 方 , 即 “ 认 证 机 构 ”, 然 而 这 样 的 “认证 机 构 ” 适 合 由 非 个 人 控制 的 组 织 或 政府 机 构 充 
当 , 以 注册 和 管理 用 户 的 密 钥 对 。 对 于 那些 非常 分 散 的 个 人 用 户 ,PGP 更 赞成 使 用 私人 方 
式 的 密 钥 转 介 ,因此 这 种 第 三 方 信任 的 方式 在 PGP 中 难以 得 到 实际 应 用 和 推广 。 

(2) PGP 的 信任 模型 

虽然 PGP 没有 关于 建立 认证 权威 机 构 或 建立 信任 体系 的 说 明 ,但 它 提供 了 一 个 利用 信 
任 关系 的 手段 ,将 信任 与 公 钥 关联 。PGP 为 公开 密 钥 附加 信任 和 开发 信任 信息 提供 了 一 种 
方便 的 方法 ,通过 附加 在 公 钥 证 书 或 公 钥 环 中 的 各 个 字段 来 实现 。 

如 图 7. 11 所 示 , 公 钥 环 的 每 个 实体 都 是 一 个 公开 的 密 钥 证 书 。 与 每 个 实体 相 联 系 的 是 
密 钥 合法 性 (key legitimacy) 字 段 ,用 来 指示 PGP 信任 “这 是 一 个 合法 的 用 户 公开 密 钥 ”的 
程度 。 信 任 程度 越 高 ,这 个 用 户 标 识 符 与 这 个 密 钥 的 绑 定 就 越 紧密 。 这 个 字段 由 PGP 计算 
得 出 。 

与 每 个 实体 相 联系 的 还 有 用 户 收 集 的 多 个 签名 。 每 个 签名 都 带 有 签名 信任 (signature 
trust) 字 段 ,用 来 指示 该 PGP 用 户 信任 签名 者 对 这 个 公开 密 钥 证 明 的 程度 。 密 钥 合 法 性 字 
段 是 从 这 个 实体 的 一 组 签名 信任 字 节 中 推导 出 来 的 。 最 后 ,每 个 实体 定义 了 与 特定 的 拥有 
者 相 联系 的 公开 密 钥 ,包括 拥 有 者 信任 (owner trust) 字 段 , 用 来 指示 这 个 公开 密 钥 对 其 他 公 
开 密 钥 证 书 进 行 签 名 的 信任 程度 (这 个 信任 程度 是 由 该 用 户 指定 的 )。 可 以 把 签名 信任 字段 
看 成 是 来 自 于 其 他 实体 的 拥有 者 信任 字段 的 副本 。 

图 7.11 中 给 出 了 一 个 正在 处 理 的 公 钥 环 的 例子 ,操作 描述 如 下 。 
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? = 不 认识 的 签名 

一 的 -x 被 Y 签 名 
-你 信任 窗 钥 拥 有 者 对 密 钥 的 签名 ?sg ， 
他 = 你 部 分 相信 密 钥 拥 有 者 对 密 钥 的 签名 Re 
(@)= 你 认为 合法 的 签名 


图 7.11 PGP 中 的 信任 关系 


当 A 在 公开 密 钥 环 中 插入 了 新 的 公开 密 钥 时 ,PGP 为 与 这 个 公开 密 钥 拥 有 者 相关 联 的 
信任 标志 赋值 , 插 用 户 A 的 公 钥 , 若 赋值 为 1 表示 终极 信任 ; 否则 , 须 说 明 这 个 拥有 者 是 未 
知 的 不 可 任 信 的 、 少 量 信 任 的 和 完全 可 信 的 等 , 赋 以 相应 的 权重 值 1/x、1/y 等 。 

当 新 的 公开 密 钥 输入 后 ,可 以 在 它 上 面 附加 一 个 或 多 个 签名 ,以 后 还 可 以 增加 更 多 的 签 
名 。 在 实体 中 插入 签名 时 ,PGP 在 公开 密 钥 环 中 搜索 ,查看 这 个 签名 的 作者 是 否 属于 已 知 
的 公开 密 钥 拥有 者 。 如 果 是 ,为 这 个 签名 的 Signature Trust 字段 赋予 该 拥有 者 的 Owner 
Trust 值 。 和 否则 , 赋 以 不 认识 的 用 户 值 。 

密 钥 合法 性 字段 的 值 是 在 这 个 实体 的 签名 信任 字段 的 基础 上 计算 的 。 如 果 至 少 一 
名 有 具有 终极 信任 的 值 ,那么 密 钥 合法 性 字段 的 设置 为 完全 ; 否则 ,PGP de 
和 。 对 于 总 是 可 信任 的 签名 赋 以 1/x 的 权重 ,对 于 通常 可 信任 的 签名 赋 以 权重 1/y, 其 中 x 
和 y 是 用 户 可 配置 的 参数 。 当 介绍 者 的 密 钥 /User ID 绑 定 的 权重 达到 1 时 , 绑 定 被 认为 是 
值得 信任 的 , 密 钥 合法 性 被 设置 为 完全 。 因 此 ,在 没有 终极 信任 的 情况 下 ,需要 至 少 x 个 签 
名 总 是 可 信 的 ,或 者 至 少 y 个 签名 是 可 信 的 ,或 者 是 上 述 两 种 情况 的 某 种 组 合 。 

对 以 上 信任 模型 分 析 可 知 ,PGP 采用 通过 信任 签名 者 的 签名 来 间接 信任 用 户 公 钼 的 方 
式 建立 公 钥 的 信任 度 。 

假设 A 和 B 有 一 个 共同 的 朋友 D, 而 D 知道 他 手中 也 的 公 钥 是 正确 的 。 于 是 D 签名 也 
的 公 钥 并 将 其 上 传 到 BBS 上 提供 其 他 用 户 下 载 。A 想 要 获得 B 的 公 钥 就 必须 先 获 取 D 的 
公 钥 来 解密 该 公 钥 (B 的 公 钥 ) 的 签名 ,这 样 就 等 于 增加 了 一 层 可 信和 度 。 如 果 A 信任 DD, 并 已 
验证 了 D 的 签名 , 则 他 可 以 信任 或 部 分 信任 B 的 公 钥 。 

只 通过 一 个 签名 就 认为 公 钥 是 可 信 的 ,这 种 可 信 度 可 能 是 小 了 。 于 是 PGP 把 用 不 

同 私 钥 签 名 的 公 钥 收集 在 一 pn dm 
的 签名 ,从 而 间接 认证 该 用 户 的 公 钥 。 

假设 用 户 D 给 他 的 朋友 用 户 A 的 公 钥 签名 并 发 布 该 公 钥 ,或 将 签名 后 的 公 钥 回 传 给 
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A, 这 样 便 可 以 让 A 通过 用 户 DD 被 用 户 DD 的 其 他 朋友 所 认可 并 信任 (或 部 分 信任 )。 与 现实 
中 人 的 交往 一 样 ,PGP 会 自动 根据 用 户 拿 到 的 公 钥 分 析出 哪些 是 朋友 介绍 来 的 签名 公 钥 ， 
把 它们 赋 以 不 同 的 信任 级 别 , 供 用 户 参 考 , 以 决定 对 它们 ( 公 钥 ) 的 信任 程度 。 也 可 指定 某 人 
具有 几 层 转 介 公 钥 的 能 力 , 转 介 后 的 信任 度 随 着 认证 的 传递 而 递减 。 


7.3.4 垃圾 邮件 防御 技术 介绍 


垃圾 邮件 存在 的 原因 还 有 一 部 分 是 因为 在 SMTP 创造 之 初 ,电子 邮件 传输 只 是 用 于 学 
校 ,政府 和 军队 ,因为 是 一 个 封闭 的 系统 ,所 以 不 存在 非法 使 用 和 滥用 电子 邮件 的 问题 。 

1990 年 以 后 ,因特网 被 广泛 应 用 于 商业 用 途 , 但 是 之 前 的 技术 隐患 仍然 存在 。 垃 圾 邮 
件 危 害 范围 逐步 增 大 , 反 垃圾 邮件 技术 也 在 不 断 发 展 。 经 过 了 十 几 年 的 发 展 ,新 兴 的 反 垃 圾 
邮件 技术 也 层出不穷 。 

PGP 能 够 进行 邮件 的 加 密 传输 ,验证 发 送 者 的 身份 等 。 但 是 ,对 于 垃圾 邮件 PGP 却 无 
能 为 力 。 概 括 来 说 , 反 垃圾 邮件 技术 的 发 展 经 历 了 如 下 三 个 阶段 。 

(1) 第 一 阶段 主要 采用 如 下 技术 和 手段 来 抵御 垃圾 邮件 

。 白 名 单 和 黑 名 单 技术 : 黑 名 单 (black list) 和 白 名 单 (white list) 分 别 是 已 知 的 垃圾 邮 

件 发 送 者 或 可 信任 的 发 送 者 IP 地 址 或 者 邮件 地 址 。 现 在 有 很 多 组 织 都 在 试图 通过 
黑 名 单 将 那些 经 常 发 送 垃圾 邮件 的 IP 地 址 (甚至 IP 地址 范围 ) 收 集 在 一 起 ,以 进行 
垃圾 邮件 过 滤 。 目 前 很 多 邮件 接收 端 都 采用 了 黑白 名 单 的 方式 来 处 理 垃圾 邮件 , 包 
括 MUA(mail user agent) 和 MTA(mail transfer agent) 。 当 然 ,黑白 名 单 在 MTA 
中 使 用 得 更 广泛 ,这样 可 以 有 效 地 减少 服务 器 的 负担 。 

。 简单 关键 字 搜索 : 该 方法 一 直 是 对 抗 垃圾 邮件 的 基本 方法 。 这 一 功能 存在 于 垃圾 
邮件 成 为 因特网 的 首要 问题 之 前 , 那 时 它 是 作为 内 容 过 滤 的 一 部 分 和 基于 反 病 毒 产 
品 的 解决 方案 和 服务 的 。 因 为 没有 文字 变化 或 者 上 下 文 对 照 ,所 以 这 种 方式 只 能 用 
作 鉴 别 垃圾 邮件 的 办 法 之 一 。 但 存在 很 多 错误 ,例如 合法 邮件 经 常 被 误 判 为 垃圾 
邮件 。 
邮件 头 测 试 : 信 头 测试 是 从 收 件 人 、 发 件 人 和 日 期 中 测试 有 问题 的 邮件 ,如 果 包 
含 错 误 形式 或 者 信息 便 予 以 阻止 。 对 于 不 合法 的 收 件 人 和 寄 件 人 ,系统 将 递送 一 
个 通告 并 拒绝 递送 该 信息 。 这 些 安全 措施 用 于 删除 垃圾 邮件 是 非常 有 效 的 ,可 以 
保证 邮件 被 正确 地 传送 。 不 管 是 不 是 垃圾 ,只 要 其 中 包含 了 垃圾 邮件 的 信息 就 会 
被 拦截 。 
简单 DNS 测试 : 该 方法 使 用 SMTP 协议 交换 发 送 者 信息 的 时 候 , 通 过 查询 发 送 者 
的 因特网 域名 来 验证 邮件 来 源 的 正确 性 。 比 如 .查询 发 送 者 发 送 邮 件 的 主机 名 是 否 
存在 (例如 通过 查询 发 送 者 域 的 IP 地 址 和 主机 名 是 否 相 符 )。 简 单 的 DNS 测试 可 
以 帮助 抵御 “电子 邮件 欺骗 ”。 尽 管 简单 DNS 测试 是 阻 断 垃圾 邮件 的 重要 手段 ,但 
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它 只 能 根据 发 送 者 的 用 户 名 和 地 址 进行 阻 断 ,而 不 去 考察 邮件 内 容 是 否 真 的 为 垃圾 
邮件 ,因此 它 不 是 严格 意义 上 的 一 个 反 垃 圾 邮件 技术 。 

(2) 第 二 阶段 主要 采用 实时 黑 名 单 和 电子 签名 技术 

实时 黑 名 单 尽 管 在 基于 网 址 和 域名 上 它 是 一 个 DNS 测试 , 它 简单 地 维护 一 个 发 送 垃圾 
邮件 的 列表 以 阻止 垃圾 邮件 的 继续 发 送 。 这 种 技术 对 于 抵御 垃圾 邮件 有 一 定 的 效果 ,但 容 
易 被 绕 过 。 例 如 改变 IP 地 址 ,或 者 利用 第 三 方 的 服务 器 来 发 送 垃圾 邮件 。 同 样 地 ,域名 会 
被 获取 ,并 被 垃圾 邮件 发 送 者 利用 ,因而 不 能 完全 依赖 它 来 判别 垃圾 邮件 。 

电子 签名 是 对 于 垃圾 邮件 防御 有 重要 意义 的 一 项 技术 。 其 基本 思路 是 如 果 垃 圾 邮件 以 
大 量 的 相同 信息 发 送 ,可 以 用 电子 签名 技术 产生 一 个 伪 电 子 签名 来 收集 和 辨别 垃圾 邮件 。 
如 果 能 够 获得 充足 的 垃圾 邮件 样本 , 则 可 以 比较 有 效 地 判断 垃圾 邮件 。 但 是 这 种 技术 需要 
及 时 操作 才能 达到 较 好 效果 。 

用 鉴别 垃圾 邮件 (签名 ) 和 即时 黑 名 单 的 方法 来 抵御 垃圾 邮件 的 能 力 有 限 ,垃圾 邮件 
发 送 者 能 够 轻易 地 绕 过 即时 黑 名单 , 最 好 的 电子 签名 技术 也 无 法 达到 百分之百 的 正 

(3) 第 三 阶段 的 贝 叶 斯 过 滤 技术 

大 约 在 2002 年 ,在 因特网 和 软件 行业 中 出 现 了 一 项 全 新 的 技术 一 一 贝 叶 斯 过 滤 。 贝 叶 
斯 过 滤 利 用 统计 学 的 方法 检测 垃圾 邮件 ,基于 垃圾 邮件 中 单个 词语 出 现 的 概率 来 判定 一 封 
邮件 是 否 为 垃圾 邮件 ,这 是 反 垃圾 邮件 技术 的 一 个 突破 。 贝 叶 斯 过 滤 技 术 的 发 展 把 反 垃圾 
邮件 的 重点 从 网 络 和 协议 改变 为 对 邮件 内 容 的 关注 。 

简单 的 贝 叶 斯 过 滤 使 用 已 经 收 到 的 垃圾 邮件 来 训练 系统 ,从 而 产生 一 个 基于 规则 评分 
的 系统 ,来 为 每 封 邮件 评分 。 

然而 垃圾 邮件 发 送 者 会 不 断 改 变 邮 件 的 内 容 , 通 常 是 增加 词汇 或 变种 词汇 。 不 断 变化 
中 性 词语 和 其 他 邮件 内 容 及 创造 变种 词汇 ,使 得 位 于 反 垃 圾 邮件 系统 最 后 一 个 步 又 的 贝 叶 
斯 过 滤 常常 被 绕 过 。 

2003 年 左右 ,由 于 新 的 需求 ,专门 的 反 垃圾 邮件 技术 开始 分 离 出 来 ,并 和 一 些 高 科技 结 
合 , 不 断 发 展 起 来 。 

基本 上 ,这 些 技 术 执 行文 件 分 级 使 用 “ 非 贝 叶 斯 过 滤 技 术 ”。 根 据 垃圾 邮件 的 变化 进行 
自我 更 新 ,目前 这 一 技术 正在 逐步 被 使 用 。 

但 无 论 哪 一 种 技术 ,都 无 法 完全 应 对 多 变 的 垃圾 邮件 。 例 如 ,简单 的 关键 字 搜索 会 产生 
较 多 误 报 。 贝 叶 斯 过 滤 需 要 经 常 训 练 才 能 适应 不 断 变 化 的 垃圾 邮件 形式 ,达到 较 好 的 效 
果 。 黑 名 单 / 白 名 单 因为 是 硬性 地 执行 拦截 或 通过 命令 ,使 用 的 时 候 要 非常 谨慎 。 实 时 
黑 名 单 的 缺点 是 它 可 能 产生 误 报 , 故 应 谨慎 选择 订阅 服务 。 对 于 DNS 测试 来 说 ,很 多 反 
向 DNS 目录 未 被 有 效 建立 ,或 无 法 正常 建立 ,这 些 域 发 送 的 邮件 将 被 阻 断 ,造成 不 可 接收 
的 高 误 报 率 。 
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7.4 DNS 安全 协议 


7.4.1 DNS 脆弱 性 分 析 


DNS 为 主机 提供 域名 解析 服务 。DNS 消息 采用 简单 的 请 求 /应 答 ( 或 称 查 询 / 响 应 
制 : 由 DNS 客户 端 (本 章 中 的 DNS 客户 端 是 指 发 起 域名 解析 请 求 的 一 方 , 即 DNS pg 
其 本 身 可 以 是 一 个 DNS 服务 器 ) 向 服务 器 ( 指 对 DNS 人 DNS 查询 
请 求 , 服 务 器 对 其 做 出 应 答 ,一 般 是 把 所 请 求 的 资源 信息 发 送 给 客户 端 。 每 个 DNS 消息 包 
括 一 个 与 之 关联 的 16 位 的 ID 号 ,服务 器 根据 该 ID eo pia 

DNS 消息 结构 如 图 7. 12 所 示 。 一 个 DNS 消息 由 问题 区 (question count) ,回答 区 
(answer count) ,权威 区 (authority count) 和 附加 区 (additional count) 构 成 。DNS 数据 包 的 
格式 及 各 字段 的 说 明 分 别 如 图 7. 13 和 图 7. 14 所 示 。 


Header 头 部 区 包括 DNS 消息 头 部 


Question 回答 区 是 对 问题 字段 的 回答 
一 一 | 受权 区 指向 取 欧 9 资源 记录 
Answer 附加 区 提供 附加 的 资源 信息 


Authority 


Additional 


图 7.12 DNS 消息 结构 


16 21 28 32bit 

ID Q Query A 时 R V B Rcode 
Question count Answer count 
Authority count Additional count 


图 7.13 DNS 数据 包 格式 


DNS 系统 以 资源 记录 (resource record, RR) 的 形式 保存 各 种 资源 信息 ,本 章 用 到 的 
DNS 的 基本 资源 记录 如 下 。 
。 A 记录 : 代表 “主机 名 称 ”与 IP 地 址 的 对 应 关系 ,DNS 使 用 A 记录 来 回答 域名 查询 
的 DNS 请 求 。 
。 CNAME 记录 : 代表 别名 与 规范 主机 名 (canonical name) 之 间 的 对 应 关系 。 
。 MX 记录 : 提供 邮件 路 由 信息 ; 提供 区 域 的 “邮件 交换 器 (Mail Exchanger) ”的 主机 
名 及 相对 应 的 优先 值 。 当 MTA 要 将 邮件 发 送 到 某 个 网 域 时 ,会 优先 将 邮件 交 给 该 
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。 ID- 用 于 连接 查询 和 答复 的 16vbit 
Q- 识 别 查 询 和 答复 消息 的 1 位 字段 
Query- 描 述 消息 类 型 的 4 位 数字 
0 标准 查询 (由 姓名 到 地 址 ) 
1 逆向 查询 
2 服务 状态 请 求 
。 A- 命 令 回 答 : 1 位 字段 。 当 设置 为 1 时 ,识别 由 命令 域名 服务 器 作出 的 答复 
*。 工 切 断 。1 位 字段 。 当 设置 为 1 时 ,表明 消息 已 被 切断 
。 R-1 位 字段 。 由 域名 服务 器 设置 为 1 请 求 递归 服务 
。 V-1 位 字段 。 由 域名 服务 器 设置 表示 递归 服务 的 实用 性 
。 B-3 位 字段 。 备 用 ,设置 为 0 
。 Rcode- 响 应 代码 ,有 域名 服务 器 设置 的 4 位 字段 用 以 识别 查询 状态 
。 Question count-16 位 字段 ,用 以 定义 问题 部 分 的 登录 号 
。 Answer count-16 位 字段 ,用 以 定义 回答 部 分 的 资源 记录 号 
。 Authority count-16 位 字段 ,用 以 定义 部 门 域名 服务 器 的 资源 记录 号 
。 Additional count-16 位 字段 ,用 以 定义 记录 部 分 的 资源 记录 号 


. 


图 7.14 DNS 数据 包 的 字段 说 明 


网 域 的 MX 主机 。 同 一 个 网 域 可 能 有 多 个 邮件 交换 器 ,所 以 每 一 个 MX 记录 都 有 一 
个 优先 值 , 供 MTA 作为 选择 MX 主机 的 依据 。 

。 PTR 记录 : 代表 IP 地 址 与 主机 名 的 对 应 关系 ,作用 刚好 与 A 记录 相反 。 某 些 网 络 
使 用 PTR 记录 来 检验 客户 端的 主机 名 称 是 否 可 信 。 

。 NS 记录 : 标记 哪些 DNS 服务 器 可 以 作为 区 域 的 授权 服务 器 。 

。 SRYV 记录 : 即 服务 位 置 资 源 记 录 ,该 记录 允许 多 个 服务 器 提供 类 似 的 基于 TCP/IP 
的 服务 ,并 使 用 DNS 查询 来 定位 该 服务 。 

DNS 采用 层次 化 结构 ,使 得 主机 名 可 以 唯一 化 。DNS 的 结构 为 反 向 树 结构 ,由 叶 节点 
走向 根 节 点 就 可 以 形成 一 个 全 资格 域名 (fully qualified domain name,FQDN ) ,每 个 FQDN 
是 唯一 的 。 在 DNS 树 中 ,由 根 到 叶 给 出 主机 名 查询 结果 ,以 便于 找到 属于 这 人 台 主 机 的 IP 地 
址 。 对 于 反 向 映射 也 有 类 似 的 树 存 在 ,在 树 中 检索 查询 IP 地 址 的 目的 是 为 了 找到 属于 这 个 
IP 地 址 的 主机 名 或 者 FQDN。 这 种 层次 划分 域名 的 方式 使 得 每 个 主机 都 可 以 在 其 归属 的 
域 (或 者 子 域 ) 内 有 唯一 的 定义 。 这 样 , 本 地 管理 员 就 可 以 管理 (增加 、 删 除 或 者 改动 )DNS 
主机 名 和 地 址 。DNS 可 以 进行 主机 名 本 地 管理 的 能 力 提 供 了 巨大 的 灵活 性 和 可 扩展 性 。 

DNS 的 另 一 个 特点 是 每 个 区 (zone, 或 称 区域 . 域 区 等 ) 中 包含 信息 的 可 用 性 。 除 了 主 
服务 器 外 ,其 余 的 都 成 为 二 级 或 从 服务 器 ,从 服务 器 负责 检验 主 服务 器 的 数据 更 新 ,如 果 检 
测 到 有 一 个 数据 更 新 ,从 服务 器 就 传送 域 的 数据 ,也 就 是 所 谓 的 区 域 传输 (zone transfer)。 
每 个 域 都 有 一 个 序列 号 ,当主 服务 器 上 的 域 数 据 更 新 时 ,就 要 调整 这 个 序列 号 。 这 种 调整 使 
得 在 服务 器 上 检测 到 数据 更 新 变 得 很 容易 。 而 能 够 同时 拥有 一 个 以 上 域 备份 的 能 力 可 以 宛 
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余 分 配 负 载 , 使 数据 非常 可 靠 。 

然而 ,DNS 高 效 灵活 的 设计 同时 也 会 引发 安全 问题 。 由 于 DNS 被 设计 成 一 个 公共 的 
数据 库 ,在 目前 的 DNS 协议 中 对 DNS 域名 空间 中 的 信息 没有 任何 访问 限制 ,用 户 可 以 随意 
查询 DNS 中 的 资源 记录 ,同时 攻击 者 也 可 能 伪造 各 种 DNS 消息 。 虽 然 BIND( 即 伯克利 
Internet 域名 , 它 是 一 个 由 加 州 大 学 伯克利 分 校 发 展 和 分 发 的 域名 系统 执行 。BIND 被 用 在 
Internet 上 绝 大 多 数 的 DNS 服务 器 中 ) 在 后 来 的 版 本 允许 进行 某 些 访问 控制 ,如 区 域 传输 
等 ,但 是 对 DNS 资源 记录 的 查询 限制 一 直 排 除 在 DNS 协议 之 外 。 正 是 由 于 DNS 既 没有 在 
内 部 为 数据 提供 安全 认证 和 数据 完整 性 认证 ,又 没有 在 外 部 引入 任何 访问 控制 机 制 , 使 得 它 
存在 很 多 安全 漏洞 ,非常 容易 遭受 攻击 。 

针对 DNS 的 威胁 和 网 络 攻击 有 很 多 ,例如 DNS 欺骗 (DNS spoofing) ,缓存 中 毒 (cache- 
poisoning) ,拒绝 服务 (deny of service) , 非 授权 更 新 (不 安全 的 动态 更 新 ) 和 域名 否认 存在 其 
骗 等 。 以 下 举例 说 明 。 


1. DNS 欺骗 
域名 欺骗 是 最 常见 的 DNS 安全 问题 之 一 ,典型 的 DNS 欺骗 是 一 个 恶意 的 攻击 者 向 
DNS 服务 器 发 送 欺 骗 消息 ,导致 受害 DNS 服务 器 相信 并 接收 了 这 些 消息 ,同时 对 系统 做 了 
相应 的 修改 。DNS 欺骗 可 能 导致 受害 DNS 服务 器 及 其 辖区 的 网 络 产生 严重 安全 问题 。 
DNS 欺骗 包括 DNS 消息 劫持 .基于 名 字 的 攻击 及 信任 服务 器 背叛 等 几 种 方式 。 
。 DNS 消息 劫持 。 利 用 对 数据 包 ( 这 里 指 DNS 请 求 .应 答 消 息 ) 进 行 拦截 发 起 攻击 。 
DNS 协议 的 请 求 和 响应 消息 依赖 于 UDP, 因 此 数据 包 交 换 时 缺乏 认证 机 制 和 序列 
号 的 控制 ,发 送 一 个 伪造 的 DNS 数据 包 极 其 简单 。 如 图 7. 15 所 示 , 当 用 户 提 出 
www. wpi. edu 地 址 解析 请 求 时 ,正常 情况 下 ,DNS 服务 器 会 返回 一 个 正确 的 IP 地 
址 ,如 130. 215. 36. 202。 然 而 ,攻击 者 很 容易 捕获 到 用 户 请 求 ,并 且 通 过 监听 服务 
器 和 DNS 客户 端 (用 户 ) 的 会 话 可 以 猜测 到 服务 器 应 答 消 息 的 ID 号 ,如 果 攻 击 者 先 
于 DNS 服务 器 将 一 个 伪造 的 应 答 消 息 ( 如 图 7. 15 中 的 166. 66. 66. 66) 发 送 给 用 户 ， 
则 攻击 者 就 能 成 功 地 让 用 户 误 以 为 www. wpi. edu 的 IP 地 址 是 166. 66. 66. 66 。 而 
DNS 客 户 端 DNS 服务 器 


www.wpi.edu 的 地 址 ? 
i 
一 
130.215.36.202 
www.wpi.edu 的 地 址 ? 
下 
一 x 
虚假 应 答 : 166.66.66.66 


攻击 者 
图 7.15 DNS 消息 劫持 
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当 正 确 的 DNS 响应 消息 到 达 DNS 客户 端 时 , 却 被 客户 端 拒绝 了 ,因为 此 时 已 经 没 
有 等 待 应 答 的 请 求 了 。 

缓存 中 毒 (cache-poisoning)。 这 是 DNS 面临 的 一 种 很 普遍 的 攻击 。 它 利用 DNS 的 
缓存 机 制 使 某 个 名 字 服 务 器 在 缓存 中 存 人 错误 或 有 害 的 数据 。 例 如 ,如 图 7. 16 所 
示 , 当 某 名 字 服 务 器 A 收 到 递归 查询 请 求 ,而 A 的 数据 库 中 没有 相应 的 资源 记录 
时 , 则 它 就 会 将 该 查询 转发 给 名 字 服 务 器 B,B 做 出 应 答 ,并 把 应 答 信 息 放 在 应 答 报 
文 的 应 签 区 中 ,同时 B 在 应 签 消息 的 附加 区 中 填充 一 些 和 查询 不 太 相 关 的 数据 。A 
接收 这 条 应 答 报 文 ,而 且 对 附加 区 中 的 数据 不 做 任何 检查 ,直接 将 其 存 人 缓存 中 。 
这 样 使 得 攻击 者 可 以 通过 在 B 中 存放 一 些 错误 的 数据 而 让 A 把 错误 或 有 害 的 数据 
存放 在 缓存 中 ,导致 A 的 缓存 中 毒 。 在 这 些 数据 的 生存 期 (time to live, TTL) 内 ,A 
又 可 能 会 把 它们 发 送 给 别 的 服务 器 ,导致 更 多 的 服务 器 缓存 中 毒 。 


> 天 
ss “ 作 游 光 
DNS 服务 器 8 胡闹 W、 下、 
DNS 客户 端 DNS 服务 器 A 
1. DNS 解析 请 求 


4. 带 有 有 害 RR 的 应 答 


图 7.16 DNS 缓存 中 毒 


假定 攻击 者 利用 DNS 缓存 中 毒 向 ISP 的 DNS 服务 器 中 的 www. microsoft. com 插 人 


受 感染 的 网 站 ,试图 访问 Microsoft 网 站 以 下 载 最 新 的 Internet Explorer 修补 程序 的 用 户 
会 在 不 知 不 觉 中 被 重 定 向 到 攻击 者 的 网 站 并 下 载 蠕虫 病毒 。 


。 信任 服务 器 背叛 (betrayal by trusted server) 。 如 图 7. 17 所 示 ,原本 可 靠 的 DNS 服 
务 器 由 于 受到 攻击 (也 可 能 是 由 于 其 他 原因 ,例如 商业 目的 ) 变 得 不 再 值得 信任 。 除 
了 系统 错误 和 被 入 侵 等 原因 ,有 些 服务 器 会 出 于 某 种 目的 返回 一 些 不 太 符 合用 户 本 
意 的 应 答 消 息 , 可 能 是 一 些 虚假 消息 .或 者 是 为 了 达到 商业 目的 而 附加 的 其 他 信息 。 


户 在 A 地 DNS 服务 器 A 
DNS 解析 请 求 
二 正确 回应 
用 户 在 B 地 DNS 服务 器 B 
DNS 解析 请 求 


一 


含有 虚假 信息 的 回应 


图 7.17 DNS 信任 服务 器 背叛 
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移动 设备 在 联网 时 时 常 遇 到 上 述 问 题 ,它们 希望 可 以 随时 随地 与 值得 信任 的 DNS 服务 
器 联络 。 但 更 多 的 时 候 ,这 种 要 求 达 不 到 ,在 许多 网 络 环境 中 ,DNS 域 非 常 有 限 ,并 且 并 不 
可 靠 。 甚 至 在 某 些 极端 条 件 下 ,DNS 端口 过 滤器 和 拦截 机 制 阻止 了 移动 终端 的 交互 请 求 。 
因此 ,如 果 这 些 问 题 都 是 由 DNS 攻击 造成 的 ,就 会 给 用 户 的 安全 带 来 极 大 的 威胁 。 


2. 拒绝 服务 攻击 (denail of service,DoS) 

黑客 主要 利用 一 些 DNS 软件 的 漏洞 .向 运行 的 DNS 服务 器 发 送 特定 的 DNS 数据 包 请 
求 , 导 致 DNS 服务 自动 关闭 。 如 果 得 不 到 DNS 服务 ,那么 整个 网 络 将 会 陷入 混乱 。 由 于 网 
址 不 能 解析 为 IP 地 址 ,用 户 将 无 法 访问 互联 网 。 


3. 分 布 式 拒绝 服务 攻击 (distributed denial of service, DDoS) 


类 似 于 DoS,DDos 的 目的 也 是 试图 使 DNS 服务 器 停止 服务 ( 指 无 法 提供 域名 解析 服 
务 )。DDoS 攻击 可 以 通过 使 用 攻击 者 控制 的 几 十 台 或 几 百 台 计算 机 攻击 一 台 主 机 ,使 得 服 
务 拒 绝 攻 击 更 难以 防范 : 使 服务 拒绝 攻击 更 难以 通过 阻塞 单一 攻击 源 主机 的 数据 流 , 来 防 
范 拒绝 服务 攻击 。Syn Flood 是 针对 DNS 服务 器 最 常见 的 分 布 式 拒绝 服务 攻击 。 该 攻击 
可 以 在 很 短 的 时 间 内 导致 DNS 服务 器 停止 服务 ,危害 性 很 大 。 


4. 缓存 漏洞 (buffer overflow) 


DNS 软件 的 默认 设置 是 允许 主机 间 进 行 区域 传 输 (zone transfer)。 区 域 传输 主要 用 于 
主 域名 服务 器 与 从 域名 服务 器 之 间 的 数据 同步 ,使 从 域名 服务 器 可 以 从 主 域名 服务 器 获得 
新 的 数据 信息 。 一 旦 起 用 区 域 传输 而 不 做 任何 限制 ,很 可 能 会 造成 信息 泄露 ,黑客 将 可 以 获 
得 整个 授权 区 域内 的 所 有 主机 的 信息 ,判断 主机 功能 及 安全 性 ,并 进一步 从 中 发 现 目标 进行 
攻击 。 


| 


5. 域名 否认 存在 欺骗 

可 以 认为 是 DNS 欺骗 和 数据 包 拦截 的 一 种 变形 。 当 客户 端 向 DNS 服务 器 查询 的 域名 
不 存在 时 ,服务 器 一 般 不 做 一 个 经 过 鉴别 的 应 答 。 此 时 ,攻击 者 可 能 截获 服务 器 正常 的 应 答 
数据 包 , 然 后 将 应 答 消 息 中 的 一 个 资源 记录 删除 或 替换 ,客户 无 法 检测 到 这 种 欺骗 ,对 客户 
端 产生 安全 威胁 。 


6. 不 安全 的 动态 更 新 

随 着 动态 主机 配置 协议 DHCP 的 出 现 ,DHCP 客户 计算 机 由 DHCP 服务 器 动态 分 配 
23 地 址 ,使 原来 手工 更 新 其 资源 记录 (DNS 中 的 A 记录 和 PTR 记录 ) 变 得 难以 管理 。 因 
此 ,在 RFC 2136 中 提出 了 DNS 动态 更 新 机 制 , 使 得 DNS 客户 端 在 IP 地 址 或 名 称 出 现 更 
改 的 任何 时 候 可 以 利用 向 DNS 服务 器 注册 和 动态 更 新 其 资源 记录 。 尽 管 DNS 动态 更 新 协 
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议 规定 只 有 经 过 授权 的 主机 才能 动态 更 新 服务 器 的 区 域 文 件 (zone file) ,但 攻击 者 可 以 利 
用 IP 欺骗 伪装 成 DNS 服务 器 信任 的 主机 对 区 数据 进行 添加 、 删 除 和 替换 。 

可 见 ,DNS 服务 的 安全 漏洞 可 能 被 攻击 者 利用 对 整个 网 络 实施 破坏 。 因 此 ,加 强 DNS 
服务 的 安全 性 对 因特网 来 说 意义 重大 。 


7.4.2 DNS 安全 防护 策略 


目前 有 一 些 针 对 DNS 的 安全 防护 策略 在 一 定 程度 上 可 以 缓解 DNS 安全 问题 。 


1. 关闭 域名 服务 器 递归 查询 功能 


这 种 策略 关闭 递归 查询 ,使 DNS 域名 服务 器 进入 被 动 模式 。 当 它 向 外 部 的 DNS 发 送 
查询 请 求 时 ,只 会 回答 它 所 授权 域 的 查询 请 求 ,而 不 会 缓存 任何 外 部 的 数据 。 因 此 ,该 方法 
可 以 抵御 缓存 中 毒 攻击 ,但 同时 也 降低 了 DNS 的 域名 解析 速度 和 效率 。 


2. 限制 区 域 传输 


在 BIND 配置 文件 中 通过 一 些 设置 可 以 限制 允许 区 域 传输 的 主机 ,这 在 一 定 程度 上 可 
以 缓解 信息 泄露 。 但 是 ,即使 封锁 整个 区 域 传输 也 不 能 从 根本 上 解决 DNS 安全 问题 ,因为 
攻击 者 可 以 利用 DNS 工具 自动 查询 域名 空间 中 的 每 一 个 IP 地 址 ,从 而 得 知 哪些 IP 地 址 还 
没有 分 配 出 去 。 利 用 这 些 闲 置 的 IP 地 址 ,攻击 者 可 以 通过 IP 地 址 欺骗 ,伪装 成 系统 内 信任 
网 络 中 的 一 台 主 机 来 完成 请 求 区 域 传输 。 


3. SPLIT DNS 


该 策略 采用 SPLIT DNS 技术 把 DNS 系统 划分 为 内 部 和 外 部 两 部 分 。 外 部 DNS 系统 
位 于 公共 服务 区 ,负责 正常 对 外 解析 工作 ; 内 部 DNS 系统 则 专门 负责 解析 内 部 网 络 的 主 
机 , 当 内 部 要 查询 Internet 上 的 域名 时 ,就 把 查询 任务 转发 到 外 部 DNS 服务 器 上 ,然后 由 外 
部 DNS 服务 器 完成 查询 任务 。 把 DNS 系统 分 成 内 外 两 个 部 分 的 优势 在 于 ,Internet 上 其 
他 用 户 只 能 看 到 外 部 DNS 系统 中 的 服务 器 ,而 看 不 见 内 部 的 服务 器 ,而 且 只 有 内 外 DNS 服 
务 器 之 间 才 能 完成 DNS 查询 信息 的 交换 ,从 而 保证 了 系统 的 安全 性 ,比较 有 效 地 防止 信息 


4. 及 时 更 新 DNS 服务 器 软件 

因特网 上 使 用 最 广泛 的 DNS 服务 器 软件 是 BIND, 它 是 一 个 免费 软件 ,其 版 本 在 不 断 
更 新 中 ,新 的 版 本 逐步 克服 了 旧版 本 的 某 些 漏洞 和 缺陷 。 因 此 使 用 BIND 最 新 版 本 可 以 在 
一 定 程度 上 提高 DNS 和 网 络 系 统 的 安全 性 。 但 是 随 着 新 漏洞 的 发 现 , 最 新 版 本 也 同样 存在 
安全 隐患 。 
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此 外 ,还 有 一 些 辅助 手段 ,例如 限制 IP 地 址 查询 、 限 制 进行 递归 查询 的 IP 地 址 范围 等 ， 
这 些 方法 和 前 面 的 几 种 方法 类 似 , 都 是 从 访问 控制 和 权限 限制 角度 来 提高 DNS 系统 的 安全 
性 。 然 而 ,最 初 设计 DNS 的 思想 是 为 公众 提供 公共 的 服务 ,为 各 种 查询 提供 正确 一 致 的 应 
答 ,DNS 名字 空 间 中 的 任何 数据 都 被 看 成 是 公共 数据 。 限 制 这 些 数据 的 使 用 在 一 定 程度 上 
违背 了 DNS 的 设计 初衷 ,给 用 户 的 使 用 带 来 不 便 , 同 时 也 不 能 解决 DNS 面临 的 基本 安全 问 
题 , 即 资源 和 消息 的 可 信和 问题 。 
从 上 述 增强 DNS 安全 性 的 方法 中 可 以 看 出 ,这 些 防范 策略 仅仅 从 局 部 解决 DNS 的 安 
全 问题 ,并 没有 对 DNS 消息 交换 过 程 中 的 数据 提供 任何 认证 和 数据 完整 性 检查 ,攻击 者 仍 
可 通过 各 种 欺骗 手段 人 侵 DNS 系统 ,因而 没有 从 根本 上 解决 DNS 安全 问题 。 有 效 保护 
DNS 系统 ,提高 DNS 安全 性 的 根本 方法 是 从 协议 层 重 新 设计 域名 解析 ,并 在 域名 解析 过 程 
中 增加 对 数据 源 的 认证 及 完整 性 验证 。 
通过 上 节 对 DNS 脆弱 性 的 分 析 ,DNS 安全 协议 的 目标 应 该 包括 如 下 方面 。 
。 数据 源 认 证 : 提供 DNS 数据 (包括 资源 、 消 息 ) 来 源 的 鉴别 ,例如 客户 端 能 够 判断 
DNS 应 答 消 息 是 否 来 自 一 个 真实 的 DNS 服务 器 ,从 而 避免 DNS 欺骗 。 某 些 情形 
下 ,对 于 客户 端的 身份 鉴别 也 是 必要 的 ,服务 器 可 以 判断 一 个 消息 是 否 的 确 来 源 于 
一 个 可 信 的 客户 端 ,这 样 可 以 抵御 DoS 攻击 及 防止 区 域 信息 泄露 。 但 对 于 客户 端 
的 认证 比较 困难 , 带 来 的 额外 开销 大 .适合 安全 性 要 求 高 .小 范围 实施 安全 控制 的 场 
合 。 由 于 区 域 信息 的 可 靠 传 输 对 于 DNS 系统 的 安全 性 非常 重要 ,因此 可 以 在 区 域 
传输 中 进行 消息 鉴别 。 
。 数 据 完整 性 保护 : 提供 DNS 数据 (包括 资源 、 消 息 ) 的 完整 性 保护 ,例如 客户 端 应 该 
能 够 检测 出 服务 器 发 出 的 应 答 消 息 是 否 被 自 改 过 。 这 样 可 以 有 效 抵御 DNS 欺骗 。 
一 般 不 要 求 对 DNS 请 求 ( 查 询 ) 和 应 答 消息 做 加 密 处 理 , 不 对 普通 查询 做 过 多 的 限制 ， 
因为 DNS 系统 是 开放 的 ,查询 和 应 答 信息 本 身 是 可 以 公开 的 。 
目前 ,针对 DNS 的 安全 协议 主要 有 DNSSEC (DNS security extension)、TSIG 
(transaction signatures) 等 。 其 中 DNSSEC 主要 针对 DNS 服务 器 资源 实施 保护 ,通过 给 资 
源 记录 进行 签名 ,可 以 让 DNS 客户 验证 服务 器 的 DNS 应 答 消息 的 真 伪 。TSIG 主要 针对 
DNS 消息 进行 鉴别 ,确保 消息 来 源 的 真实 性 。TSIG 允许 客户 端 和 服务 器 之 间 进 行 双向 身 
份 认 证 ,从 而 有 效 防 御 DNS 欺骗 和 拒绝 服务 攻击 (因为 服务 器 可 以 鉴别 客户 端的 身份 )， 
TSIG 特别 适合 对 区 域 传 输 过 程 进行 保护 。DNSSEC 和 TSIG 可 以 联合 使 用 ,共同 提高 
DNS 系统 的 安全 性 。 


7.4.3 DNSSEC 协议 概述 


为 了 增强 DNS 协议 的 安全 性 ,IETF 开发 了 DNSSEC。DNSSEC 由 RFC 2535 进行 规 
约 , 它 在 现 有 的 DNS 协议 上 增添 了 附加 的 DNSSEC 数据 类 型 ,以 支持 对 资源 的 签名 和 完整 
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性 保护 。 伯 克利 BIND 中 实现 了 DNSSEC 的 部 分 功能 。 
在 DNSSEC 中 ,所 有 的 DNS 应 答 报 文 的 内 容 是 经 过 签名 的 。 客 户 端 可 以 通过 检查 消 
息 中 的 数字 签名 来 鉴别 应 答 消 息 的 来 源 及 其 完整 性 。 这 种 报 文 内 容 的 实现 并 不 是 对 整个 
DNS 消息 进行 签名 实现 的 ,通常 是 服务 器 对 其 数据 库 中 的 资源 记录 进行 签名 ,然后 和 对 应 
的 RR 一 起 保存 在 数据 库 中 。 在 客户 端 发 出 域名 查询 时 ,签名 的 信息 随 相 应 的 资源 记录 一 
起 发 送 给 客户 端 。 客 户 端 通过 验证 应 答 消 息 中 的 签名 信息 即 可 判断 收 到 的 消息 是 否 安全 
可 靠 。 
DNSSEC 可 提供 如 下 安全 服务 。 
。 为 DNS 提供 消息 源 认 证 : 即 确保 应 答 消 息 来 自 可 信 的 服务 器 ,这 主要 通过 对 资源 
记录 本 身 进行 签名 存储 和 发 布 来 实现 。 
。 为 数据 提供 完整 性 保护 : 由 于 对 资源 记录 签名 时 进行 了 散 列 计算 ,因此 可 以 使 接收 
者 能 够 验证 数据 在 传输 过 程 中 是 否 被 自 改 过 。 
。 域名 否定 存在 权威 应 答 : 引入 新 的 机 制 ,对 域名 查询 不 存在 的 应 答 消息 提供 认证 ， 
确认 授权 域名 服务 器 上 不 存在 所 查询 的 资源 记录 。 并 且 这 种 否认 应 等 本 身 是 可 信 
的 ,从 而 对 域名 不 存在 的 DNS 查询 做 出 权威 应 答 。 
。 DNS 事务 认证 : 事务 鉴别 可 以 对 包括 DNS 请 求 ( 查 询 ) 消 息 在 内 的 事务 处 理 (通信 
消息 ) 进 行 签名 和 验证 ,以 确认 消息 本 身 的 合法 性 。 事 务 签名 可 以 抵御 不 安全 的 动 
态 更 新 等 非 授 权 更 新 ,以 及 数据 包 算 改 类 型 的 攻击 。 这 种 保护 对 于 区 域 传输 尤为 重 
要 。 为 了 提高 DNSSEC 对 消息 及 事务 处 理 本 身 的 鉴别 能 力 ,可 以 使 用 TSIG 机 制 ， 
也 可 以 使 用 IETF RFC 2931 定义 的 “DNS 请 求 和 事务 认证 ”机 制 , 称 为 SIG(0)。 前 
者 使 用 对 称 密码 ,后 者 使 用 公 钥 密码 。 目 前 .TSIG 比 SIG(0) 的 应 用 更 广泛 。 
DNSSEC 的 基本 功能 是 提供 对 其 资源 记录 的 签名 保护 , 即 主要 提供 上 述 前 三 个 安全 服 
务 。DNSSEC 采用 公开 密码 体制 实现 服务 器 消息 的 数据 源 认 证 和 消息 数据 的 完整 性 保护 。 
首先 ,为 资源 记录 计算 一 个 消息 散 列 值 ( 或 消息 摘要 ) ,然后 使 用 服务 器 的 私 钥 对 该 散 列 值 进 
行 非 对 称 加 密 ,形成 签名 。 为 此 ,要 将 一 个 DNS 的 区 域 转变 为 一 个 安全 的 DNSSEC 区 域 ， 
或 签名 区 域 , 管 理 员 需 要 为 这 个 区 域 生成 一 个 公 钥 / 私 钥 对 。 私 钥 用 于 对 资源 记录 进行 签 
名 ,然后 妥善 保存 ; 公 钥 采用 某 种 方式 发 布 给 客户 端 ,以 便 进行 签名 验证 。 
为 了 实现 这 些 安全 服务 ,DNSSEC 还 需要 进行 密 钥 管理 和 信任 关系 的 维护 ( 见 7. 4.4 
节 和 7.4.5 节 )。 


1. DNSSEC 的 新 增 记录 


为 了 提供 资源 签名 和 完整 性 保护 ,DNSSEC 新 增 了 如 下 基本 安全 资源 记录 。 

。 SIG。DNSSEC 中 ,SIG 作为 扩展 的 签名 资源 记录 (SIG RR) 存 在 ,用 于 存放 对 应 资 
源 记录 的 签名 信息 。 区 域 所 有 者 使 用 自己 的 私 钥 对 各 个 资源 记录 进行 签名 ,形成 相 
应 的 SIG RR。 当 DNS 客户 端 向 DNS 服务 器 发 出 查询 请 求 时 ,服务 器 在 消息 的 附 
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加 区 域 中 加 入 该 RR 对 应 的 SIG, 即 把 资源 记录 的 签名 附加 在 应 答 数 据 包 中 。 客 户 
端 负 责 鉴别 数据 的 真 伪 和 完整 性 。 

。 KEY。 增 加 密 钥 资源 记录 (KEY RR) ,用 来 存放 和 发 布 服务 器 的 公 钥 。 一 般 , 每 个 
区 域 拥有 一 对 私 钥 及 其 对 应 的 公 钥 。 私 钥 用 于 对 资源 记录 进行 签名 , 公 钼 需要 发 布 
到 客户 端 ,客户 端 使 用 它 进行 签名 验证 。 公 钥 的 拥有 者 可 以 是 一 个 区 域 . 主 机 或 某 
个 用 户 。KEY RR 本 身 需要 进行 签名 (以 防止 假冒 ), 然 后 作为 DNS 资源 记录 的 一 
种 随 DNS 应 答 消息 一 起 发 送 给 客户 端 。 

。 NXT。 设立 NXT 类 型 记录 (NXT RR) ,以 可 靠 地 否认 一 个 域名 的 存在 (对 于 区 域 中 
不 存在 的 域名 用 NXT RR) ,从 而 抵御 攻击 者 利用 DNS 系统 中 域名 查询 不 存在 的 漏 
洞 进行 的 攻击 。DNSSEC 中 ,DNS 服务 器 对 一 个 不 存在 的 域名 将 返回 NXT RR 和 
它 的 签名 。NXT RR 是 经 过 排序 的 ,域名 中 与 这 个 被 查询 的 域名 最 接近 的 下 一 个 域 
名 的 RR。 排 序 的 方法 一 般 是 把 域名 看 成 一 系列 经 过 划分 的 字 串 ,从 最 高 字 串 排 起 ， 
若 最 高 字 串 相同 ,再 排 次 高 字 串 ,依次 类 推 。 当 查询 的 域名 排 在 最 后 的 域名 之 后 时 ， 
DNS 服务 器 将 返回 排 在 第 一 位 的 域名 , 即 把 所 有 域名 看 成 一 个 循环 的 队列 。 当 客 
户 端 查询 的 DNS 资源 不 存在 时 ,安全 的 DNS 服务 器 至 少 要 返回 一 个 已 经 签名 的 
NXT RR, 供 客户 端 验证 。 而 在 现 有 的 非 安 全 DNS 服务 器 中 , 当 查 询 的 域名 不 存在 
时 ,服务 器 不 会 自动 返回 NXT RR, 只 有 当 显 式 请 求 时 才 会 返回 NXT RR。 

。 DS。 即 委托 签名 者 (delegation signer) ,是 一 个 指向 DNSSEC 信任 链 的 指针 。 

图 7.18 中 给 出 了 普通 DNS 记录 格式 的 示例 ,图 7. 19 中 给 出 了 使 用 DNSSEC 后 的 记 

录 格 式 例子 ,可 以 看 出 在 DNSSEC 中 每 条 记录 都 被 进行 了 签名 保护 。 


ct。nl。 IN SOA ns,xtdnet ,nl, hostmaster,ct,.nl, ( 
2003021618 ; Serial 
28800 ”Refresh 
7200 ; Retry 
604800 ; Expire 


3600) > Minimum 


ctnl, IN NS ns.xtdnet .nl, 
ctnl, IN NS nsl,xtdnet .nl . 
WWW, Ct.nl IN CNAME www,fnl.nl, 

ctnl, IN HM 10 cable.fnl,.nl, 
ct.nl, IN Mx 30 smtp,xtdnet.nl, 


图 7.18 普通 DNS 记录 


2. 新 增 记录 的 数据 结构 


引入 新 增 的 RR 后 ,DNSSEC 需要 采用 某 种 数据 结构 (DNS 中 称 为 RDATA) 来 描述 该 
资源 记录 。 

(1) KEY 资源 记录 

KEY 资源 记录 的 RDATA 如 图 7. 20 所 示 。 其 中 , 公 钥 字段 代表 某 个 实体 的 公 钥 ,其 他 
字段 说 明 如 下 。 


3600 SIG MX 5 2 3600 20030320173018 ( 
20030218173018 35861 ct.nl. 
S1261RNyGntq + PCZ65xe ) 

3600 KEY 256 3.5.( 
XDXiK4oxgbcdJx51mDsl 
) ; key id = 57410 

3600 KEY 256 .35 
8a + qDT/20al/y2x5sWQ + mgk = 
) ; key id = 35861 

3600 SIG KEY 5 2 3600 20030320173018 ( 
20030218173018 35861 ct.nl. 
CthM1Kdv1IY1528jKL5P ) 

3600 SIG KEY 5 2 3600 20030320173018 ( 
20030218173018 57410 ct.nl. 
dRZ+MF+7+2Zt0aphQiw == ) 

3600 NXT www. ct. nl. NS SOA MX SIG KEY NXT 


图 7.19 DNSSEC 记录 


标志 协议 算法 
公 钥 
图 7.20 对 KEY 资源 的 描述 (RDATA) 


。 标 志 (flag): 指示 KEY 资源 记录 所 代表 的 是 何 种 实体 , 即 指明 公 钥 拥有 者 的 身份 
(如 区 域 . 主 机 或 某 个 用 户 ) 和 其 他 一 些 附加 属性 。 
。 协议 (protocol) : 现在 只 代表 DNS, 但 KEY 资源 记录 将 来 还 可 用 于 别 的 因特网 协议 。 
因为 KEY 资源 记录 可 以 作为 一 种 通用 的 公 钥 分 配方 案 , 不 应 仅 局 限于 DNSSEC。 
。 算法 (algorithm): 指明 生成 和 验证 签名 时 使 用 的 加 密 算 法 ,可 选用 RSA, 也 可 以 是 
其 他 一 些 公开 密 钥 算 法 或 某 种 内 部 商定 的 算法 ,此 时 Public Key 域 的 格式 与 加 密 算 
法 有 关 。 注 意 , 对 于 一 些 特 殊 的 加 密 算 法 ,Public Key 域 (字段 ) 还 可 以 有 它 的 子 域 。 
(2) SIG 资源 记录 
SIG 资源 记录 的 RDATA 如 图 7.21 所 示 。 
覆盖 类 型 算法 标签 
原始 TTL 值 
签名 失效 
签名 时 间 
密 钥 印迹 签名 者 的 名 字 
签名 者 的 名 字 
签名 
图 7.21 SIG 资源 的 描述 (RDATA) 


其 中 名 字段 的 说 明 如 下 。 

。 履 盖 类 型 (type covered) : 指定 对 哪 种 类 型 的 RR 进行 加 密 。 

。 算法 (algorithm) : 与 Key RR 中 的 字段 相同 。 

。 标签 (labels) : 域名 中 的 字段 数 ,用 以 快速 决定 域名 是 否 使 用 了 通配符 。 
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。 原始 TTL 值 (original TTL): 表明 对 资源 签名 时 的 TTL 值 ,因为 报 文 在 传输 过 程 
中 TTL 值 会 改变 ,所 以 必须 保存 这 个 值 . 当 验证 时 以 此 值 蔡 换 改变 后 的 TTL。 

。 签名 失效 (signature expiration) : 指明 该 签名 的 失效 期 。 

。 签名 者 的 名 字 (signer's name): 指明 对 该 RR 进行 签名 的 签名 者 的 名 字 。 

。 签名 时 间 (time signed): 指明 对 该 RR 进行 签名 的 时 间 。 

。 密 钥 印迹 (key footprint): 当 有 多 个 Key 可 选 时 ,用 该 字段 能 快速 地 选 出 一 种 。 

。 签名 (signature) : 是 加 密 后 的 密 文 (签名 ) 。 

DNSSEC 中 的 签名 和 验证 签名 会 产生 额外 的 开销 ,从 而 影响 网 络 和 服务 器 的 性 能 。 如 
果 签 名 的 数据 量 很 大 ,就 会 加 重 DNS 对 Internet 骨干 网 及 一 些 非 骨干 连接 的 负担 。 

此 外 ,如 果 使 用 DNSSEC ,还 需要 对 原 有 的 DNS 软件 进行 改造 。DNSSEC 软件 自身 还 
需要 完善 和 更 新 ,需要 进行 实际 操作 和 测试 。 目 前 ,DNSSEC 还 没有 和 Internet 的 迅速 发 
展 同步 , 仍 在 不 断 发 展 之 中 。 


7.4.4 DNSSEC 密 钥 管理 
基本 上 DNSSEC 协议 一 般 只 提供 数字 签名 服务 ,因此 DNSSEC 系统 中 需要 管理 的 密 


钥 主 要 是 公 钥 / 私 钥 对 。 私 钥 用 来 为 区 数据 签名 (或 为 另 一 个 公 钥 签名 ) , 公 钥 对 签名 数据 进 
行 验证 ,完成 数据 源 的 真实 性 和 完整 性 鉴别 。 


1. 密 钥 生成 

这 里 的 密 钥 指 公 钥 、 私 钥 对 。 在 DNSSEC 中 ,每 个 保护 区 (secure zone) 都 有 对 应 的 密 
钥 对 。 对 于 公开 密 钥 算 法 而 言 (如 RSA 算法 ) ,生成 密 钥 的 关键 是 大 素数 的 生成 。 在 一 般 非 
密码 系统 的 应 用 场合 ,只 要 求 产生 的 随机 数 呈现 平衡 的 ,等 概率 分 布 即 可 ,并 不 要 求 它 的 不 
可 预测 性 。 而 在 密码 系统 中 ,特别 是 在 密 钥 生成 技术 中 ,不 可 预测 性 成 为 产生 随机 性 的 一 条 
根本 原则 。 一 般 而 言 ,重复 地 从 某 一 个 固定 区 间 随 机 选取 一 个 整数 n, 并 对 n 进行 素性 检 
测 , 即 可 得 到 所 需 的 大 素数 。 

DNSSEC 中 密 钥 对 生成 可 以 使 用 工具 ,比如 OpenSSL。 根 据 一 些 非 对 称 密 钥 算法 , 随 
机 生成 公 钥 、 私 钥 对 ,生成 的 参数 包括 使 用 的 加 密 算法 (如 RSA、DSA、MD5 和 DH 等 )、 密 
钥 长 度 和 密 钥 所 有 者 等 。 

通常 一 个 区 域 需 要 一 对 公 钥 / 私 钥 。 如 果 一 个 安全 的 解析 器 可 以 得 到 一 个 可 信 的 公 钥 ， 
它 就 可 以 验证 从 该 区 发 送 的 ,经 过 签名 的 数据 是 否 可 靠 。 


2. 密 钥 的 分 发 和 管理 
这 里 的 密 钥 指 公 钥 。 对 于 公 钥 的 分 发 ,DNSSEC 实现 起 来 非常 方便 , 它 不 需要 采用 专 
门 的 机 制 提供 公共 手段 分 发 大 量 的 公 钥 (除了 系统 的 根 公 钥 需 要 一 个 程序 定期 从 根 服务 器 
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上 下 载 以 外 , 见 下 节 )。 如 前 所 述 , 公 钥 被 保存 在 DNS 资源 记录 中 的 KEY RR 中 ,并 随 所 请 
求 的 DNS 数据 信息 一 起 封装 在 DNS 应 答 消 息 中 传送 至 客户 端 。 对 于 每 个 域名 请 求 ,根据 
其 请 求 包 的 某 个 标识 ,如 果 判 断 出 请 求 方 已 具备 DNSSEC 功能 , 则 响应 包 中 不 仅 有 RR 数 
据 , 还 包含 公 钥 数 据 和 对 应 的 签名 数据 。 

客户 端 使 用 公 钥 进行 签名 验证 之 前 ,首先 要 确保 公 钥 本 身 是 可 信 的 。 因 此 ,对 于 公 钥 的 
管理 ,DNSSEC 主要 是 要 解决 如 何 证 明 公 钥 是 真实 、 可 信和 的 问题 ,DNSSEC 可 以 通过 信任 链 
的 方式 来 实现 公 钥 信任 机 制 : KEY RR 中 的 公 钥 本 身 是 经 过 签名 的 ,因此 需要 另 一 个 公 钥 
来 鉴别 当前 公 钥 的 真实 性 ,依次 类 推 , 一 系列 公 钥 构成 了 公 钥 信任 链 ,最 高 级 别 的 公 钥 称 为 
根 公 钥 (root key) , 它 应 该 被 系统 中 的 所 有 成 员 信任 。 


3. 密 钥 存储 


DNSSEC 的 安全 体系 构建 在 签名 和 验证 签名 的 过 程 上 ,因此 私 钥 本 身 的 安全 可 靠 是 系 
统 安全 的 基础 。 每 个 区 需要 一 个 私 钥 对 该 区 内 的 数据 进行 签名 ,区 数据 的 安全 性 取决 于 区 
的 私 钥 的 保护 。 

DNSSEC 中 ,区 的 私 钥 离 线 存放 在 某 个 安全 的 地 方 一 一 通常 在 域名 服务 器 文件 系统 的 
一 个 文件 里 。 该 文件 只 有 运行 密 钥 生 成 程序 者 才 有 访问 和 读 写 权 限 。 区 的 公 钥 则 可 以 存放 
在 DNS 域名 信息 的 配置 文件 中 。 除 了 公 钥 本 身 ,还 需要 放 一 些 与 公 钥 相 关 的 信息 ,如 公 钥 
长 度 、 加 密 算法 等 。 


4. 密 钥 的 注册 
密 钥 对 的 公 钥 部 分 需要 由 父 区 来 签名 以 确认 其 真实 可 信 。 注 册 的 目的 在 于 确认 其 身份 
和 公 钥 真实 有 效 , 密 钥 经 过 注册 后 可 以 用 来 对 所 获得 的 签名 数据 信息 进行 鉴别 。 


5. 密 钥 的 更 改 

在 公 钥 密码 机 制 下 ,因为 各 种 原因 密 钥 对 ( 公 钥 、 私 钥 对 ) 必 须要 及 时 更 换 。 密 钥 的 更 换 
其 实 就 是 一 次 对 区 记录 进行 重新 签名 和 重新 认证 的 过 程 。 由 于 DNS 采用 缓存 结构 ,新 密 钥 
的 生成 不 一 定 能 为 所 有 解析 器 立即 接受 。 旧 密 钥 及 其 签名 记录 可 以 和 新 的 签名 共存 一 段 时 
间 ,直到 旧 公 钥 从 远 端 服务 器 的 缓存 中 清除 。 


6. 分 层 的 密 钥 结构 

DNSSEC 采用 分 层 的 密 钥 结构 , 即 子 区 和 父 区 的 密 钥 分 层 存 储 和 签名 。 根 据 签名 对 象 
的 不 同 ,又 分 为 两 种 密 钥 结构 。RFC 2535 中 定义 的 基本 密 钥 结构 如 图 7. 22(a) 所 示 。 即 子 
区 私 钥 对 子 区 记录 数据 进行 签名 ,而 子 区 公 钥 由 父 区 私 钥 签 名 认证 。 

RFC 4641(DNSSEC 操作 实践 ) 中 描述 了 另 一 种 密 钥 结构 ,如 图 7. 22(b) 所 示 。 这 种 结 
构 把 每 个 区 域 的 公 钥 和 私 钥 都 分 成 两 种 : 一 种 命名 为 ZSK(zone signing keys) ,是 加 密 区 记 
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> 父 区 公 钥 (4 父 区 公 钥 KEY 
= KEY 
No DS 
父 区 哈 
轧 子 区 KSK 公 铀 中 上 
过 
六 a 了 KKSKR 铀 | 
区 公 KEY KEY 
留 ”于 区 公 钥 a GF” 了 Kzsk 公 包 | sg 
子 区 数据 子 区 数据 
A | A 
于 区 私 乌 SG Of Fezsky .| SG 
(a) RFC 2535 密 钥 结 构 (b) RFC 4641 密 钥 结构 


图 7.22 DNSSEC 的 密 钥 结 


录 的 密 钥 ; 另 一 种 命名 为 KSK(key signing keys), 即 加 密 密 钥 的 密 钥 ,这 两 种 密 钥 分 别 有 
公 钥 和 私 钥 之 分 。 签 名 按 如 下 方式 进行 : 子 区 ZSK 私 钥 为 子 区 记录 签名 , 子 区 ZSK 公 钥 验 
证 其 签名 ; 子 区 KSK 私 钥 用 来 为 子 区 ZSK 公 钥 签名 , 子 区 KSK 公 钥 用 来 验证 其 签名 ; 子 
区 KSK 公 钥 又 由 父 区 私 钥 进行 签名 。 这 样 设计 的 目的 是 方便 密 钥 的 撤销 ,增强 区 数据 的 
安全 性 ,但 同时 也 增加 了 协议 的 复杂 性 。 


7.4.5 DNSSEC 签名 验证 及 公 钥 信任 机 制 


为 了 有 效 进 行 签 名 验证 ,DNSSEC 必须 建立 一 个 有 效 的 公 钥 信任 机 制 。 目 前 DNSSEC 
的 信任 机 制 主要 使 用 的 是 委托 信任 链 机 制 。 

DNSSEC 基于 非 对 称 密码 算法 ,DNS 消息 认证 需要 用 响应 者 发 送 的 公 钥 对 接收 到 的 消 
息 进行 数据 源 鉴别 ,同时 验证 数据 的 完整 性 。 因 此 , 公 钥 是 否 可 信 对 整个 DNS 系统 至 关 重 
要 。 为 了 保证 公 钥 的 正确 性 ,DNSSEC 要 求 建立 一 个 信任 链表 。 其 核心 思想 是 父 区 对 子 区 
的 公 钥 进行 数字 签名 , 即 由 父 区 来 验证 子 区 公 钥 的 可 靠 性 ,以 保证 DNS 客户 端 ( 本 身 可 能 是 
一 个 DNS 服务 器 ,担当 DNS 解析 器 的 角色 ) 能 够 获得 可 信 的 公 钥 。 例 如 . com、. org 等 区 的 
解密 公 钥 由 根 域名 服务 器 掌管 的 私 钥 进行 加 密 签 名 ,x. com 的 公 钥 由 . com 区 来 签名 ,依次 
类 推 。 公 钥 信 任 链 一 般 起 始 于 域名 解析 器 信任 的 公 钥 。 该 点 称 作 安全 人口 点 ,根据 RFC 2535 
定义 ,该 公 钥 应 该 是 根 域名 服务 器 掌管 的 公 钥 ,所 以 安全 入 口 点 实际 上 就 是 根 域 名 服务 器 。 
此 公 钥 即 为 根 公 钥 (root key), 它 可 以 通过 网 站 公开 发 布 ,让 所 有 的 域名 服务 器 、 主 机 都 预 
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先 项 态 配置 在 自己 的 机 器 上 。 

实现 时 ,DNSSEC 使 用 委托 代理 资源 记录 (DS RR) 指 向 给 某 个 实体 签名 的 密 钥 ( 通 常 
是 父 区 的 密 钥 ) , 即 指明 信任 链 中 下 一 个 可 信和 的 密 钥 ,由 DS 指向 的 密 钥 的 签名 信息 应 该 是 
可 信和 的 。 

图 7. 23 描述 了 一 个 DNSSEC 查询 和 应 答 的 具体 实例 ,描述 了 DNSSEC 公 钥 验证 的 信 
任 链 机 制 。 


根 DNS 
.cn 区 的 DNS 
.com 区 的 DNS 
edu.en 区 的 DNS KEY 
测 sr - 汪汪 
汪 OE 有 
本 - 奇 接 骂 KEy， SIG 
x.edu.cn 区 的 DNS ~ ~ -() 返回 A:SIG: KEY 记 录 集 y.com 区 的 DNS 


dns.x.edu.cn dns.y.com 


查询 ww oe 


(5) 按照 信任 链 进 行 
逐 级 验证 


ve WWW.y.com 


图 7.23 DNSSEC 签名 验证 及 验证 过 程 的 消息 交互 


np 二 


初始 时 ,所 有 的 域名 服务 器 都 配置 好 了 根 公 钥 ,随后 ,客户 机 A. x. edu. cn 向 DNS 系统 
查询 域名 为 www. y. com 的 主机 的 IP 地 址 。 该 请 求 被 本 地 域名 服务 器 dns. x. edu. cn( 它 
是 x. edu. cn 区 的 域名 解析 器 ) 接 收 , 并 利用 DNSSEC 的 委托 信任 链 机 制 做 如 下 处 理 。 

Q@ dns. x. edu. cn 中 没有 该 主机 的 资源 记录 ,于 是 它 向 y. com 区 的 权威 DNS 服务 器 
dns. y. com 发 起 DNS 请 求 。 

@ dns.y. com 作出 DNS 应 答 , 应 答 消 息 包括 主机 www. y. com 的 A 记录 (A 记录 在 
DNS 系统 中 为 标识 主机 地 址 的 资源 记录 )、A 记录 的 签名 记录 和 y. com 区 的 公 钥 (该 公 钥 
由 . com 区 的 私 钥 进行 签名 ) 。 

@ dns. x. edu. cn 为 了 验证 y. com 区 公 钥 的 有 效 性 :向 y. com 的 父 区 即 . com 区 发 出 公 
钥 请 求 消息 。 

@ .com 区 的 域名 服务 器 向 dns. x. edu. cn 作出 应 答 , 应 答 消 息 中 包含 . com 区 的 公 钥 
及 公 钥 的 签名 记录 。 
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@ dns. x. edu. cn 首先 利用 Root Key 验证 . com 的 公 钥 的 合法 性 ,确认 后 再 利用 . com 
的 公 钥 验证 y com 区 公 钥 的 合法 性 。 最 后 利用 y. com 对 A 记录 的 签名 进行 验证 ,确认 该 
记录 合法 , 且 内 容 完 整 后 接收 该 记录 ,并 向 客户 端 主机 A. x. edu. cn 发 出 域名 解析 的 应 答 消 
息 。 签 名 验证 过 程 中 如 果 其 中 有 一 个 区 的 公 钥 认证 未 通过 ,就 认为 这 个 区 是 不 安全 的 。 

其 中 ,步骤 中 中 的 消息 格式 如 下 。 


Question : 


Qname= www. y. com 


Qtype 一 A; 
RDATA=? 
步骤 四 中 的 消息 格式 如 下 。 
问题 区 : 1. www. y. com A ?3; 
应 答 区 : 2. www. y. com A 10510. 10, 13 
3. Www. y.com SIG [RDATA info]; 
权威 区 : 4. y. com NS dos. y. com 
5. y. com SIG [RDATA info]; 
附加 区 : 6. dns. y. com A 10. 10.5. 3 
7. dns. y. com SIG [RDATA info]; 
8. y. com KEY [RDATA info]; 


第 1 条 记录 是 原始 查询 ,在 DNSSEC 的 应 答 报 文 中 ,不 仅 包 含 了 问题 的 回答 ,还 包括 了 
原始 的 查询 。 第 7 条 记录 即 是 对 查询 和 应 答 报 文 的 连接 进行 的 数字 签名 。 在 DNSSEC 中 
这 条 资源 记录 是 应 答 中 必须 包括 的 。 通 过 这 两 条 记录 DNSSEC 就 可 以 提供 事务 和 查询 认 
证 ,保证 应 答 的 数据 的 确 是 对 原始 查询 的 应 答 , 同 时 也 确实 来 自 于 被 查询 的 服务 器 。 

第 2、3 条 记录 分 别 是 www. y. com 的 A 记录 和 这 条 A 记录 的 签名 记录 。 

权威 区 中 用 来 存放 NS 记录 及 它 的 签名 记录 ,以 说 明 y. com 区 的 授权 ,该 例 中 y. com 
区 授权 dns. y. com 为 该 区 DNS 权威 服务 器 。 

附加 区 中 6、7 条 记录 分 别 是 dns. y. com 的 A 记录 和 它 的 签名 ; 第 8 条 记录 存放 了 y. com 
区 的 解密 公 钥 。 解 析 器 获取 这 个 公 钥 并 通过 上 面 描述 的 公 钥 信任 链 对 此 公 钥 认证 无 误 后 ， 
就 对 3、5、7 这 三 条 SIG 记录 进行 签名 验证 ,如 果 验 证 不 通过 , 则 丢弃 该 报 文 。 


7.4.6 TSIG 和 TKEY 


如 前 所 述 ,DNSSEC 着 重 保护 DNS 资源 记录 。 为 了 增强 传统 DNSSEC 的 事物 鉴别 能 
力 , 即 保护 DNS 通信 消息 的 安全 传输 ,IETF 开发 了 事务 签名 TSIG。TSIG 由 RFC 2845 进 
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行规 约 。TSIG 使 用 共享 密码 对 DNS 消息 实施 鉴别 ,这 尤其 适用 于 保护 DNS 解析 的 响应 
和 更 新 \ 保 护 区 域 数据 传输 。 对 消息 的 保护 可 以 是 双向 的 ,因此 ,TSIG 中 ,客户 端 和 服务 器 
的 消息 均 可 以 进行 认证 和 鉴别 。 

如 图 7. 24 所 示 , 当 配置 了 TSIG 后 ,DNS 消息 将 会 增加 一 个 TSIG 记录 数据 项 ,该 数据 项 
对 DNS 消息 进行 签名 ,签名 信息 附加 在 DNS 消息 的 尾部 ,提供 消息 源 鉴 别 和 完整 性 保护 。 


Header Header 
Question Question 
Answer Answer 
Authority Authority 
Additional Additional 
TSIG 


图 7.24 TSIG 对 DNS 消息 的 封装 


签名 消息 通过 HMAC 算法 实现 , 即 TSIG= Hash(key,message)。 因 此 ,通信 双方 需要 
一 对 共享 密 钥 。TSIG 中 的 共享 密 钥 可 以 在 一 台 主 机 上 产生 ,然后 使 用 安全 的 方式 分 发 给 
对 等 实体 。 也 可 以 通过 协议 自动 产生 共享 密 钥 。 

TSIG 中 使 用 TKEY 为 DNS 客户 端 和 服务 器 之 间 自 动 生成 共享 密 钥 , 即 用 来 自动 产 
生 TSIG 中 的 加 密 密 钥 。TKEY 消息 交换 过 程 本 身 必须 使 用 签名 信息 ,可 以 使 用 TSIG 或 
者 SIG(0) 签 名 。TKEY 也 被 用 来 删除 先前 使 用 过 的 密 钥 。 初 始 时 ,客户 机 向 服务 器 发 送 
一 个 签名 的 TKEY 请 求 消息 (包含 一 个 适当 的 密 钥 ) , 密 钥 发 送 到 一 个 理解 TKEY 的 服 
务 器 。 服 务 器 进行 应 答 ,如 果 成 功 , 它 会 包含 一 个 TKEY 记录 和 一 个 适当 的 密 钥 。 经 过 这 
个 交换 后 ,双方 都 有 足够 信息 来 计算 共享 密 钥 ,细节 的 过 程 依赖 于 TKEY 的 模式 选择 。 可 
以 采用 Diffie-Hellman TKEY 模式 交换 密 钥 ,以 得 到 通信 双方 产生 TSIG 签名 的 共享 密 钥 。 
图 7.25 中 给 出 了 一 个 DNS 通信 双方 使 用 TKEY 协商 产生 共享 密 钥 的 例子 。 

PRIVq PRIVr 
TKEYq(TKEY query) 


TKEYr(TKEY response) 
Shared secret=fPRIVq.TKEYq,TKEYT) 


Shared secret=fPRIVrTKEYq,TKEYT) 


g(Shared secrebD=TSTG=g(Shared secret) 


图 7.25 TKEY 产生 共享 密 钥 
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TSIG 中 加 入 了 时 间 截 ,以 抵御 重 放 攻 击 , 这 要 求 DNS 客户 端 维护 一 个 精确 的 时 钟 。 
TSIG 协议 的 对 等 实体 可 以 通过 网 络 时 间 协 议 (network time protocol,NTP) 来 获取 精确 的 
时 间 信 息 。 

TSIG 的 缺点 是 共享 密 钥 必须 在 线 传递 ,或 通过 某 种 私有 渠道 分 发 给 需要 进行 消息 鉴 
别 的 实体 ,这 给 使 用 者 带 来 了 不 便 , 也 限制 了 其 使 用 的 范围 和 规模 。 

目前 ,TSIG 和 DNSSEC 已 被 共同 集成 到 BIND 中 ,TSIG 可 以 和 DNSSEC 一 起 使 用 ， 
也 可 以 单独 使 用 。 


7.5 SNMP 安全 协议 


7.5.1 SNMP 及 其 安全 性 概述 


简单 网 络 管理 协议 (simple network management protocol, SNMP) 是 目前 TCP/IP 网 
络 中 应 用 最 为 广泛 的 网 络 管理 协议 。SNMP 的 发 展 经 历 了 几 个 重要 阶段 。1990 年 5 月 ， 
RFC 1157 定义 了 SNMP 的 第 一 个 版 本 SNMPv1, 它 提供 了 一 种 监控 和 管理 计算 网 络 的 系 
统 方法 ,该 方法 简单 易 行 ,获得 了 许多 厂商 的 支持 ,也 得 到 了 广泛 的 应 用 ,并 成 为 网 络 管理 事 
实 上 的 标准 。 

SNMP 在 20 世纪 90 年 代 初 得 到 了 迅速 发 展 ,同时 也 暴露 出 其 性 能 上 的 明显 不 足 , 如 功 
能 简单 难以 实现 大 量 的 数据 传输 ,缺少 身份 验证 和 加 密 等 安全 机 制 等 。 因 此 1993 年 发 布 
了 SNMPv2, 它 在 SNMPv1 的 基础 上 进行 了 功能 性 改进 : 支持 分 布 式 网 络 管理 ; 扩展 了 数 
据 类 型 ; 可 以 实现 大 量 数据 的 同时 传输 ; 丰富 了 故障 处 理 能 力 。 

然而 SNMPv2 并 没有 有 效 解 决 SNMP 协议 面临 的 安全 问题 ,网 络 管理 协议 和 通信 过 
程 面 临 着 假冒 、 信 息 自 改 、 报 文 延迟 、 重 播 和 报 文 序列 的 修改 、 信 息 暴 露 等 安全 威胁 ,这 些 安 
全 问题 阻碍 了 SNMP 的 应 用 和 发 展 。 

为 增强 网 络 管理 协议 的 安全 性 ,IETF SNMPv2 工作 组 于 1998 年 发 布 了 REFC 2271 一 
RFC 2275 ,正式 形成 了 SNMPv3。SNMPv3 实现 了 SNMPv2 未 能 实现 的 几 个 目标 , 它 采 用 
基于 用 户 的 安全 模式 (user-based security mode, USM), 在 安全 性 和 管理 机 制 等 方面 对 
SNMPv2 进行 了 扩展 。 

SNMP 由 一 系列 协议 和 规范 组 成 ,它们 提供 了 一 种 从 网 络 设 备 中 收集 网 络 管理 信息 的 
方法 。SNMP 网 络 管理 模型 采用 Manager/ Agent 结构 , 即 管 理 者 /代理 模式 。 

如 图 7. 26 所 示 ,一 个 支持 SNMP 的 网 络 管理 系统 包含 4 个 基本 要 素 : 管理 者 (manager) 、 
代理 (agent) .管理 信息 库 (MIB) 及 SNMP 消息 (SNMP message)。 其 中 , MIB 是 一 个 存放 
被 管 设备 (如 PCs 工作站 、 服 务 器 、 网 桥 和 路 由 器 等 ) 所 维护 的 全 部 被 管理 对 象 的 数据 库 。 
在 SNMP 管理 体系 中 ,被 管 设备 的 各 种 数据 变量 被 抽象 为 不 同 的 被 管 对 象 ,全 部 被 管 对 象 
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SNMP 消 息 
> 


网 络 管理 站 被 管 设备 
图 7.26 SNMP 网 络 管理 系统 的 构成 


的 集合 被 组 织 为 MIB。Agent 是 安装 在 被 管理 设备 中 的 软件 模块 ,负责 维护 本 地 MIB 及 响 
应 Manage 发 来 的 消息 ,此 外 它 还 可 以 主动 向 Manager 通报 重要 事件 的 发 生 。Manager 是 
系统 的 管理 者 ,安装 在 网 络 管理 站 上 , 它 可 以 读 取 和 设置 Agent 所 维护 的 MIB 中 被 管 对 象 
的 值 ,并 和 Agent 之 间 进 行 各 种 信息 交互 ,交互 信息 封装 在 SMTP 消息 中 发 送 。 即 
Manager 与 Agent 之 间 ,Manager 与 Manage 之 间 通 过 SNMP 消息 交互 信息 ,SNMP 消息 
使 用 UDP 端口 161/162 进行 传输 。 

由 于 因特网 是 一 个 开放 平台 ,传统 SNMP 协议 中 的 消息 传输 又 是 明文 的 ,这 使 得 在 网 
络 管理 中 使 用 SNMP 时 ,可 能 面临 严重 的 安全 威胁 ,包括 如 下 方面 。 

。 自 改 : 非 授 权 实 体 算 改 正在 传递 中 的 由 授权 实体 产生 的 SNMP 消息 ,以 此 执 

行 未 被 授权 的 管理 操作 。 

。 伪装 : 非 授权 用 户 假冒 授权 用 户 来 进行 未 被 授权 的 管理 操作 。 

。 滞 延 和 重 传 ( 重 放 ) : 管理 消息 在 传输 过 程 中 被 故意 延迟 或 重复 发 送 。 

。 窃听 : 消息 在 传输 过 程 中 非 授权 用 户 对 其 进行 复制 ,通过 消息 副本 来 获取 消息 中 的 

信息 。 

为 提高 SNMP 的 安全 性 ,SNMPv3 需 考虑 提供 以 下 几 种 安全 服务 。 

。 数据 完整 性 : 保证 数据 在 传输 过 程 中 未 被 修改 。 

。 数据 机 密 性 : 必要 时 ,对 数据 进行 加 密使 其 内 容 不 被 泄露 。 

。 数据 来 源 认 证 : 实现 对 接收 数据 的 发 送 者 的 身份 认证 。 

。 消息 及 时 性 保护 : 保证 只 处 理 在 有 效 时 间 内 接收 到 的 消息 。 

。 访问 控制 : 通过 对 合法 用 户 的 授权 .实现 控制 访问 者 对 不 同 被 管 资源 的 访问 权限 。 


7.5.2 SNMPv3 的 体系 结构 


1. SNMPv3 体系 架构 


SNMPv3 提出 了 一 个 新 的 SNMP 体系 架构 ,这 个 体系 架构 为 各 种 基于 SNMP 的 管 
系统 提供 了 一 个 通用 的 实现 模型 。SNMPv3 人 SNMP 
实体 构成 ,这 些 实体 或 者 是 Agent, 或 是 Manager, 或 者 是 两 者 的 结合 。 通 过 SNMP 实体 之 
间 的 相互 作用 来 实现 对 网 络 及 其 资源 的 检测 和 控制 。 其 中 ,每 个 SNMP 实体 由 一 个 SNMP 
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引擎 和 若干 个 SNMP 应 用 构成 ,如 图 7. 27 所 示 。 在 一 个 管理 域 中 ,SnmpEngineID 唯一 标 
识 一 个 SNMP 引擎 。 不 同 管理 域 中 的 两 个 SNMP 引擎 允许 有 相同 的 SnmpEngineID。 由 
于 SNMP 实体 和 SNMP 引擎 是 一 一 对 应 的 ,所 以 SnmpEngineID 也 用 来 唯一 标识 一 个 
SNMP 实体 。 


SNMP 实 体 

调度 器 消息 处 理 安全 访问 控制 
引擎 子 系统 子 系统 子 系统 
SNMP | 命令 生成 器 ”| | 通知 接收 器 代理 转发 器 
应 用 程序 

命令 应 答 器 ”| | ”通知 生成 器 其 他 


图 7.27 SNMPv3 体系 架构 


SNMP 引擎 为 SNMP 应 用 提供 消息 的 接收 和 发 送 消息 认证 ,加密 和 访问 控制 等 服务 ， 

主要 由 以 下 几 部 分 组 成 。 

。 调度 器 (dispatcher): 是 SNMP 引擎 的 关键 部 件 ,每 个 引擎 只 有 一 个 调度 器 , 它 负 责 
SNMP 消息 的 接收 和 发 送 。 调 度 器 和 消息 处 理子 程序 协作 完成 消息 的 进一步 处 理 ， 
负责 发 送 PUD 到 SNMP 应 用 程序 ,同时 通过 底层 网 络 协议 协作 完成 消息 的 传输 。 
调度 器 能 够 为 不 同 版 本 的 消息 处 理子 系统 分 派 任务 ,并 为 不 同 的 应 用 提供 发 送 和 接 
收 PDU 的 服务 ,其 功能 包括 向 网 络 发 送 或 从 网 络 接收 SNMP 消息 ; 确定 消息 的 版 
本 ; 与 相应 的 消息 处 理 模 型 交互 ; 为 应 用 提供 抽象 接口 ,向 其 传递 PDU 和 接收 其 欲 
向 其 他 实体 发 送 的 PDU 等 。 

。 消息 处 理子 系统 (message process subsystem) : 负责 准备 要 发 送 的 SNMP 消息 及 
从 收 到 的 消息 中 抽取 数据 。SNMPv3 充分 考虑 到 和 之 前 版 本 的 兼容 性 ,消息 处 理子 
系统 包括 多 个 消息 处 理 模 块 ,每 个 消息 处 理 模 块 定义 一 个 特定 版 本 的 SNMP 消息 
的 格式 ,以 对 不 同 的 消息 格式 进行 不 同 的 处 理 。 

。 安全 子 系统 (security subsystem): 负责 提供 消息 的 认证 和 加 密 等 安全 服务 。 安 全 

子 系统 可 以 支持 一 个 或 者 多 个 安全 模型 ,目前 只 支持 基于 用 户 的 安全 模型 USM。 

访问 控制 子 系统 (access control subsystem): 通过 访问 控制 模型 提供 对 本 地 文件 访 

问 的 授权 服务 。 目 前 支持 基于 视图 的 访问 控制 模型 (view-based access control 

model,VACMI) 。 

SNMP 利用 SNMP 引擎 提供 的 服务 来 执行 SNMP 实体 的 操作 ,这 些 应 用 包括 如 下 。 

。 命令 生成 器 (command generator): 根据 不 同 的 应 用 生成 不 同 的 SNMP 命令 ,如 
SNMP GET、SNMP GETNEXT 等 。 
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。 命令 应 答 器 (command responder) : 在 收 到 不 同 的 SNMP 命令 后 ,通过 应 用 程序 


回 需要 的 管理 数据 。 
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。 通知 产生 器 (Cnotification originator) : 生成 Trap 或 Inform 等 命令 。 

。 通知 接收 器 (notification receiver) : 接收 并 处 理 Trap 或 者 Inform 命令 。 

。 代理 转发 器 (proxy forwarder) : 在 不 同 的 SNMP 实体 之 间 转 发 消息 。 

SNMPv3 架构 的 一 个 突出 特点 是 采用 了 可 扩充 的 模块 设计 的 思想 ,这 些 模块 之 间 相 互 
协作 ,根据 实现 功能 的 不 同 ,采用 相应 的 模块 。 SNMPv3 体系 结构 中 单独 的 模块 可 以 根据 
实际 情况 升级 而 不 影响 其 他 模块 。 


2. 数据 封装 


如 图 7. 28 所 示 ,SNMPv3 在 原 SNMPvl 或 SNMPv2 的 协议 数据 单元 (protocol data 
unit,PDU) 中 增加 了 用 于 安全 保护 的 报头 ,利用 该 报头 对 原始 SNMP 消息 ( 即 SNMPv1l 或 
SNMPv2 的 PDU) 进 行 加 密 、 鉴 别 ( 具 体 方式 可 选 ) 处 理 , 形 成 SNMP v3 报 文 。SNMP v3 报 
文 封装 在 UDP 协议 中 进行 传输 。SNMPv3 报 文 由 版 本 信息 、 头 部 数据 \ 消 息 安全 参数 及 


scopedpdu 这 4 部 分 构成 。 


SNMPv1 或 SNMPv2 


msgFlags 


msgSecurityModel 


SNMPv3 安 全 报头 


UDP 报头 


msgAuthoritativeEngineID 


msgAuthoritativeEngineBoots 


msgAuthoritativeEngineTime 


IP 报 头 


(1) 版 本 信息 


msgUserName 


PDU 


图 7.28 SNMPv3 消息 格式 


版 本 信息 


头 部 数据 


消息 安全 参数 
(由 USM 产 生 和 处 理 ) 


scopePDU 
(明文 或 加 密 数据 ) 


版 本 信息 通过 msgVersion 字段 标识 。 设置 为 snmpv3, 表 示 该 消息 是 一 个 SNMPv3 


消息 。 
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(2) 头 部 数据 
头 部 数据 描述 消息 标识 符 ID .消息 最 大 长 度 、 消 息 标志 和 消息 安全 模型 等 信息 ,包括 
msgID .msgMaxSize .msgFlags 和 msgSecurityModel 字段 。 


msgID: 用 于 通信 的 两 个 SNMP 实体 唯一 标识 一 对 请 求 与 响应 消息 ,该 请 求 消息 与 
响应 消息 拥有 相同 的 msgID 值 。 

msgMaxSize: 消息 发 送 者 能 支持 的 消息 的 最 大 字 节 数 , 也 是 该 实体 能 接收 的 最 大 字 
节 数 。 其 取 值 范围 为 484 一 (2-31-1) 字 节 。 

msgFlags: 一 个 8 位 组 ,目前 包含 了 reportableFlag、authFlag 和 privFlag 三 个 标志 
位 ,用 于 控制 消息 的 处 理 行为 。authFlag 和 privFlag 合 起 来 就 定义 了 安全 级 别 
(securityLevel)。 目 前 有 不 认证 不 加 密 (noAuthNoPriv) .认证 不 加 密 (authNoPriv) 
和 既 认 证 又 加 密 (authPriv) 三 种 安全 级 别 , 其 安全 级 别 依次 提高 。 
msgSecurityModel: 标识 发 送 端 使 用 的 安全 模式 ,接收 端 只 有 使 用 同样 的 安全 模式 
才能 处 理 该 消息 。SNMP 的 不 同 版 本 有 不 同 的 安全 模式 ,目前 主要 有 SNMPv1(1)、 
SNMPv2c(2) 和 USM(3)。 对 于 SNMPv3 消息 ,其 安全 模式 为 USM, 即 基于 用 户 的 
安全 模式 。 


(3) 消息 安全 参数 
消息 安全 参数 描述 用 户 名 及 与 授权 引擎 、 认 证 和 加 密 有 关 的 安全 参数 ,是 为 了 支持 
安全 机 制 而 设置 的 ,包括 msgAuthoritativeEngineID、msgAuthoritativeEngineBoots、 


msgAuthoritativeEngineTime、 msgUserName、 msgAuthenticationParameters 和 msgPrivacy 


Parameters 字段 。 


msgAuthoritativeEngineID: 表示 参与 消息 交互 的 权威 引擎 的 snmpEngineID 值 。 
权威 引擎 是 指 不 需要 响应 的 消息 (如 Trap、Response) 的 发 送 引擎 ,或 是 需要 响应 的 
消息 (如 Get、GetNext、GetBulk、Set 和 Inform) 的 接收 引擎 。 
msgAuthoritativeEngineBoots: 表示 参与 消息 交互 的 权威 引擎 的 snmpEngineBoots 
值 , 即 权 威 引擎 自从 配置 了 snmpEngineID 以 后 ,重新 启动 的 次 数 。 
msgAuthoritativeEngineTime: 表示 参与 消息 交互 的 权威 引擎 的 snmpEngineTime 
值 , 即 权威 引擎 最 近 一 次 重启 到 现在 所 经 过 的 时 间 秒 数 。 当 其 达到 最 大 值 (2`31-1) 
时 ,snmpEngineBoots 的 值 加 1,snmpEngineTime 的 值 被 置 为 0 并 重新 开始 计数 。 
msgUserName: 用 户 名 ,用 于 报 文 的 身份 认证 。 

msgAuthenticationParameters: 进行 消息 认证 的 消息 认证 码 , 长 度 为 12 个 8 位 组 。 
如 果 不 需要 认证 , 则 其 值 为 空 。 

msgPrivacyParameters: 加 密 参 数 , 用 于 生成 进行 CBS-DES 加 解密 的 初始 化 矢量 
(initialization vector,IV) 。 如 果 不 需要 加 密 , 则 其 值 为 空 。 


(4) scopedpdu 
scopedpdu 描述 上 下 文 信息 和 协议 数据 单元 ,是 受 加 密 保护 的 对 象 .包括 contextEngineID、 
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contextName 和 PDU 字段 。 
。 contextEngineID: 用 于 在 一 个 管理 域 中 标识 SNMP context 所 处 的 SNMP 实体 。 
SO esate ELS te 理 信息 的 集合 。 
该 集合 可 以 跨越 多 个 SNMP 实体 ,由 多 个 SNMP 实体 上 的 可 访问 管理 信息 组 成 。 
。 contextName: 用 于 在 一 个 SNMP 实体 内 部 命名 一 个 上 下 文 ,在 同一 SNMP 实体 内 
contextName 必须 是 唯一 的 。 
。 PDU: 即 SNMPvl 或 SNMPv2 的 协议 数据 单元 。 


7.5.3 SNMPv3 安全 服务 的 实现 


为 实现 提高 网 络 管理 协议 安全 性 的 目标 ,SNMPv3 提出 了 基于 用 户 的 安全 模式 USM。 
USM 提供 了 身份 认证 、 消 息 加 密 和 时 间 窗 校 验 等 安全 服务 。 与 此 同时 ,SNMPv3 将 安全 与 
管理 相 结 合 , 提 出 了 基于 视图 的 访问 控制 模式 VACM 来 提高 SNMPv3 系统 的 用 户 管理 能 
力 。VACM 可 以 在 PDU 级 提供 安全 服务 ,负责 控制 用 户 可 以 访问 的 被 管 对 象 , 以 及 可 以 进 
行 的 访问 操作 。 


1. USM 


在 SNMPv3 的 安全 通信 中 ,USM 提供 了 身份 认证 .消息 加 密 和 时 间 窗 校 验 等 安全 服 
务 。USM 使 用 消息 认证 码 MAC 对 交互 的 消息 进行 消息 源 鉴 别 和 完整 性 鉴别 ,以 防止 用 户 
假冒 和 算 改 消息 。 可 以 使 用 的 认证 协议 有 HMAC-MD5、HMAC-SHA1。 同 时 ,USM 使 用 
加 密 方法 来 保证 消息 在 传输 中 的 机 密 性 ,IETF 建议 使 用 CBC-DES 加 密 协 议 。 此 外 ,USM 
使 用 时 限 检查 机 制 来 防止 消息 滞 延 和 重 放 。USM 为 SNMP 实体 维护 了 一 个 用 户 信 息 表 
usmUserTable, 包 含 了 用 户 的 相关 属性 信息 ,如 UserEngineID( 与 用 户 通 信 的 权威 引擎 的 
SnmpEngineID) .userName( 用 户 名 ) ,securityName( 安 全 名 ) 、authProtocol 和 authKey( 用 
户 使 用 的 认证 协议 和 密 钥 ) .privProtocol 和 privKey( 用 户 使 用 的 加 /解密 协议 和 密 钥 ) 等 。 
通信 双方 实体 通过 所 维护 的 用 户 信息 ,对 收发 的 消息 进行 安全 处 理 。 

此 外 ,在 使 用 认证 与 加 密 服 务 时 ,通信 的 Manager 和 Agent 须 共享 用 户 的 认证 密 钥 和 
加 密 密 钥 。 然 而 ,一 个 用 户 可 能 拥有 多 个 Agent 的 访问 和 控制 权限 ,如 果 该 用 户 在 每 个 
Agent 上 的 密 钥 都 相同 , 必 将 导致 安全 隐患 。 但 是 让 用 户 记 忆 大 量 的 密 钥 ,又 会 增加 用 户 的 
负担 。 为 此 ,USM 采用 了 密 钥 本 地 化 机 制 , 用 户 只 需 记 忆 自 己 的 认证 密码 和 加 密 密 码 , 由 
USM 负责 将 密码 转换 成 认证 协议 和 加 密 协 议 所 需 的 本 地 化 的 密 钥 。 采 取 这 种 方式 ,可 以 
缓解 字典 式 密 钥 攻击 的 速度 。 同 时 ,由 于 不 同 用 户 的 密 钥 各 不 相同 ,并 且 同 一 个 用 户 在 不 同 
Agent 上 的 密 钥 也 不 同 ,因此 一 个 用 户 在 某 一 个 Agent 上 的 密 钥 受到 损害 不 会 影响 到 其 他 
的 Agent。 

下 面具 体 说 明 USM 中 各 项 安全 服务 的 实现 方式 。 
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(1) 身份 认证 和 数据 完整 性 保护 

SNMPv3 中 ,身份 认证 通过 数字 签名 实现 ,提供 消息 完整 性 和 数据 源 鉴别 。USM 使 用 
简单 的 HMAC 算法 进行 消息 的 签名 (类 似 于 TSIG 中 的 签名 机 制 ,不同 于 利用 PKI 的 签名 
机 制 ) 。 

身份 认证 的 实现 方法 是 : 管理 者 与 代理 共享 一 个 对 称 密 钥 ,此 密 钥 的 密码 通过 MD5 或 
SHA 算法 获得 。 管 理 者 以 该 密 钥 和 待 传输 的 消息 作为 HMAC 算法 的 输入 ,通过 喻 希 算法 
计算 出 MAC 值 ,然后 将 其 加 入 消息 的 认证 参数 字段 (msgAuthenticationParameters) 中 传 
输 。 代 理 收 到 该 消息 后 使 用 同一 密 钥 计 算 该 消息 的 MAC 值 ,并 与 收 到 的 MAC 进行 比较 。 
如 果 相 同 则 认为 消息 可 靠 , 否 则 拒绝 接收 该 消息 并 返回 错误 信息 。 

(2) 合 时 性 检查 

合 时 性 的 意思 是 消息 一 旦 被 认定 是 鉴别 过 的 ,就 必须 及 时 接收 并 处 理 , 从 而 防止 消息 被 
延迟 或 重复 。 

合 时 性 通过 同步 时 钟 来 保证 。 在 两 个 引擎 之 间 每 一 次 安全 的 SNMPv3 通信 中 ,一 个 引 
人 擎 被 看 作 是 命令 式 的 , 另 一 个 则 是 非 命令 式 的 。 命 令 式 引擎 维持 一 个 “时 钟 值 用 于 同步 ,而 
非 命令 式 引擎 的 任务 就 是 获取 并 跟踪 这 个 “时 钟 ? 值 .“ 时 钟 ? 值 由 EngineBoots 和 Engine- 
Time 两 部 分 组 成 ,其 中 EngineBoots 表示 引擎 重新 启动 的 次 数 ,EngineTime 表示 引擎 最 后 
一 次 重新 启动 后 所 经 历 的 秒 数 。 

合 时 性 检查 的 实现 方法 是 : 初始 时 , 非 命令 式 引擎 发 送 一 个 请 求 消息 给 命令 式 引擎 ,将 
其 中 msgAuthoritativeEngineBoots 和 msgAuthoritativeEngineTime 都 置 为 0, 从 而 获取 命 
令 式 引擎 的 EngineBoots 和 EngineTime 的 值 。 命 令 式 引擎 的 响应 是 发 送 一 个 报告 消息 ,其 
中 包含 最 新 的 SnmpEngineBoots 和 SnmpEngineTime 值 。 非 命令 式 引 擎 一 旦 获取 了 命令 
式 引 擎 的 SompEngineBoots 和 SnmpEngineTime 值 ,就 需要 跟踪 这 些 值 。 以 后 发 送 给 命令 
式 引 擎 的 消息 将 包含 有 这 样 的 值 : 非 命令 式 引擎 “认为 ”命令 式 引 擎 的 SnmpEngineBoots 
和 SnmpEngineTime 值 应 该 是 多 少 。 命 令 式 引擎 则 将 这 样 的 值 与 自己 的 实际 值 比较 。 如 
果 比 较 结果 相差 150s 以 内 ,消息 被 认为 是 及 时 的 ; 如 果 相 差 超 过 150s ,该 消息 将 被 丢弃 。 

(3) 重复 性 检查 

SNMPv3 报 文 头 部 有 一 个 报 文 标识 符 msgID, 发 送 SNMP 请 求 的 实体 将 负责 使 用 这 个 
消息 标识 符 ,将 其 接收 到 的 一 个 响应 与 一 个 未 解决 的 请 求 进行 匹配 。 重 复 性 的 意思 是 指 在 
150s 间隔 中 不 能 有 两 个 相同 的 msgID 字段 的 报 文 回 送 。 

假设 在 一 个 150s 时 间 窗 口中 接收 了 两 个 具有 相同 标识 符 的 响应 ,第 一 个 响应 将 被 匹 
配 ,然后 删 去 具有 该 标识 符 的 请 求 。 因 此 .后 到 的 重复 响应 将 因为 无 响应 请 求 与 之 匹配 而 被 
丢弃 。 通 过 这 种 机 制 , 发 送 者 可 以 在 一 定 程度 上 判别 报 文 是 否 是 重 放 的 ,以 防止 报 文 复制 和 

(4) 机 密 性 

与 身份 认证 类 似 , 机密 性 保护 也 需要 管理 站 和 代理 共享 同一 个 对 称 密 钥 ( 称 为 
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privKey) ,以 实现 消息 的 加 密 和 解密 ,该 对 称 密 钥 由 用 户 密码 经 MD5 算法 获得 。 

USM 加 密使 用 的 是 DES 的 CBC 模式 ,用 DES CBC 算法 加 密 和 解密 需要 DES 密 钥 和 
一 个 初始 向 量 IV。DES 对 称 密 钥 由 privKey 的 前 8 个 字 节 形成 (由 于 DES 只 需要 56 位 的 
密 钥 ,因此 每 个 字 节 的 最 低 有 效 位 被 忽略 掉 ), 后 8 个 字 节 则 用 作 pre-IV。1IV 由 pre-IV 和 
一 个 salt 值 按 位 进行 “ 异 或 ”而 产生 。 其 中 salt 值 是 由 该 引擎 SnmpEngineBoots 的 当前 取 
值 与 本 地 加 密 协 议 维护 的 一 个 整数 串 接 而 成 。 为 了 防止 IV 泄露 ,将 salt 值 放 在 消息 的 
msgPrivacyParameter 字段 中 传输 ,接收 方 根据 该 字段 计算 出 正确 的 IV, 再 进一步 对 密 文 进 
行 解密 。 


2. VACM 


VACM 在 SNMPv3 安全 通信 中 提供 PDU 级 别 的 安全 服务 ,负责 控制 用 户 可 以 访问 的 
被 管 对 象 ,以 及 可 以 进行 的 访问 操作 。 为 提供 访问 控制 服务 ,VACM 需 定 义 组 (groups) 、 安 
全 级 别 (securityLevel)、 上 下 文 (contexts)、MIB 视图 (MIBViews) 及 访问 策略 (access 
policy)5 个 基本 要 素 。 

。 组: 包含 一 个 或 多 个 由 去 安全 模型 ,安全 名 之 二 元 组 标识 的 用 户 , 同 组 的 所 有 用 户 
具有 相同 的 访问 权限 ,但 每 个 用 户 只 能 加 入 一 个 组 。 每 个 组 由 组 名 (groupName) 
标识 。 

。 安全 级 别 : 表示 在 进行 访问 权限 控制 时 所 需 使 用 的 安全 级 别 , 共 有 不 认证 不 加 密 
(noAuthNoPriv) ,认证 但 不 加 密 (authNoPriv) 及 既 认 证 又 加 密 (authPriv) 三 种 。 同 
组 的 用 户 可 以 定义 不 同 的 安全 级 别 。 

。 上下文 : 是 能 被 一 个 SNMP 实体 访问 的 管理 信息 的 集合 ,该 集合 可 以 跨越 多 个 
SNMP 实体 ,由 多 个 SNMP 实体 上 的 可 访问 管理 信息 组 成 。 同 时 ,同一 管理 信息 可 
以 属于 多 个 上 下 文 。 每 个 上 下 文 由 上 下 文 名 (contextName) 标 识 。 

。 MIB 视图 : 是 一 个 管理 对 象 的 集合 ,由 一 个 或 多 个 视图 子 树 组 成 。 而 一 个 视图 子 树 
是 一 系列 具有 相同 OID 前 缀 的 MIB 对 象 实例 。 

。 访问 策略 : 用 于 定义 一 个 组 的 访问 权限 。 在 一 个 某 组 通过 使 用 某 特 定 的 安全 模型 
和 安全 级 别 可 以 访问 的 上 下 文中 ,通过 使 用 一 个 读 视 图 (read-view) 、 写 视图 (write- 
view) 和 通告 视图 Cnotify-view) 来 定义 该 组 在 这 个 上 下 文中 的 访问 权限 。 其 中 , 读 
视图 表示 该 组 能 进行 读 操作 的 MIB 视图 ; 写 视图 表示 该 组 能 进行 写 操作 的 MIB 视 
图 ; 通告 视图 表示 该 组 能 进行 通告 的 MIB 视图 。 

此 外 ,为 实现 访问 请 求 控制 功能 ,VACM 还 需 使 用 4 张 表 : 上 下 文 表 (vacemContextTable )、 
组 映射 表 (vacemSecurityToGroupTable)、 访 问 控 制 表 (vacemAccessTable) 和 视图 子 树 表 
(vacmViewTreeFamilyTable) 来 实现 访问 控制 机 制 。 上 下 文 表 用 于 存储 本 地 所 有 可 被 访问 
的 上 下 文 的 名 字 ; 组 映射 表 用 于 存储 二 安全 模型 ,安全 名 二 二 元 组 与 组 名 的 对 应 关系 ; 访 
问 控制 表 用 于 存储 各 组 的 访问 权限 ,指定 了 某 个 组 在 特定 的 上 下 文中 ,使 用 特定 的 安全 模型 
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与 安全 级 别 ,能 访问 哪些 读 视图 、 写 视图 及 通告 视图 ; 视图 子 树 表 用 于 存储 MIB 视图 内 包 
含 的 哪些 视图 子 树 , 以 及 不 包含 哪些 视图 子 树 的 相关 信息 。 


本 章 实验 


1. 利用 PGP 保护 电子 邮件 的 安全 。 
2. 利用 BIND 配置 实现 DNSSEC 和 TSIG。 


思考 题 


1. DNSSEC 和 TSIG 有 什么 区 别 和 联系 ? 

2. 同样 是 保护 电子 邮件 的 安全 协议 ,从 协议 层次 和 封装 顺序 上 看 ,PGP 和 S/MIME 的 
区 别 是 什么 ? 

3. PGP 和 S/MIME 的 证 书 格式 有 什么 不 同 ? 

4. PGP 和 DNSSEC 的 信任 关系 模型 有 什么 不 同 ? 

5. PGP 的 公 钥 环 和 私 钥 环 文件 的 结构 是 怎样 的 ? 在 PGP 中 为 什么 要 使 用 多 个 私 钥 和 
公 钥 对 ? 这 一 点 和 PKI 有 什么 区 别 ? 

6. 假设 你 为 WWW 服务 器 设计 一 个 安全 的 解决 方案 ,那么 应 该 从 哪些 方面 考虑 提高 
其 安全 性 的 问题 ? 
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企业 级 安全 技术 


8.1 虚拟 专用 网 


8.1.1 VPN 概述 


RFC 2764 对 虚拟 专用 网 (VPN) 的 定义 是 : 利用 公用 网 络 ( 通 常 是 Internet) 将 异地 的 
站 点 或 用 户 互 连 而 形成 的 一 个 具有 私有 (专用 ) 性 的 网 络 。 这 种 私有 性 是 指 VPN 可 以 保证 
其 上 通信 的 私有 数据 不 被 未 授权 访问 ,这 可 以 通过 认证 .加 密 或 路 由 隔离 等 机 制 实现 。 为 了 
提供 这 种 私有 服务 ,VPN 网 络 依赖 VPN 协议 实现 ,例如 可 以 使 用 IPSec 或 PPTP(point-to- 
point tunneling protocol) 等 协议 实现 数据 加 密 服 务 和 身份 鉴别 机 制 。 

如 图 8. 1 所 示 ,VPN 使 用 公共 网 络 基 础 设施 传输 私有 数据 ,而 不 使 用 专用 的 私有 线路 
(例如 使 用 图 8. 2 所 示 的 专用 线路 )。 也 就 是 说 ,VPN 没有 自己 的 专用 链 路 和 网 络 基础 设 
施 , 但 通过 VPN 协议 它 可 提供 与 专用 网 络 相同 的 安全 服务 ,因此 称 为 虚拟 专用 网 。 


图 8.1 利用 Internet 的 VPN 网络 


图 8.2 专用 网 络 
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VPN 可 提供 如 下 安全 服务 中 的 一 种 或 多 种 。 

。 访问 控制 

。 认证 

。 机 密 性 

。 数据 完整 性 

实现 VPN 的 典型 技术 有 两 种 : 隧道 技术 和 虚拟 路 由 技术 。 采 用 隧道 技术 实现 VPN 的 
基础 框架 如 图 8. 3 所 示 。 在 VPN 设备 (VPN device) 之 间 建 立 VPN 隧道 (VPN tunnel)， 
VPN 设备 是 实现 VPN 协议 的 对 等 实体 ,可 以 使 用 路 由 器 、 防 火 墙 或 RAS(remote access 
server) 服 务 器 实现 。VPN 隧道 实际 上 是 采用 某 种 协议 ( 即 隧道 协议 ) 对 网 络 数据 包 进 行 封 
装 , 从 而 提供 安全 特性 。VPN 隧道 可 以 使 用 多 种 协议 实现 ,例如 可 以 使 用 虚拟 的 PPP 连接 
在 公共 网 络 上 传输 由 隧道 协议 封装 的 用 户 数据 , 即 PPTP 协议 。 


VPN Device mm Access Server ] 


Cpevee 家 庭 用 户 | 
ee 


办 公 机 构 
(CNpoice 站 
TN 


接 入 局 域 网 


图 8.3 隧道 技术 的 VPN 基础 构架 


图 8.4 给 出 了 使 用 隧道 实现 VPN 的 网 络 拓扑 ,其 中 公司 总 部 和 VPN 客户 端 ( 可 以 是 
移动 用 户 .拨号 用 户 或 局 域 网 用 户 ) 位 于 异地 。 公 司 总 部 的 防火 墙 提供 VPN 服务 ,而 VPN 
客户 端 使 用 VPN 客户 端 软件 接 入 VPN 服务 器 , 接 人 后 即 产生 VPN 隧道 ,远程 的 公司 用 户 
可 以 通过 隧道 协议 安全 地 访问 公司 总 部 信息 。 

隧道 技术 将 用 户 数据 包 采 用 隧道 协议 进行 重新 封装 ,并 在 公用 网 络 中 传输 私有 VPN 
数据 。 封 装 后 的 数据 仍 采用 公共 网 络 使 用 的 协议 (例如 IP 协议 ) 进 行 传输 ,传输 过 程 对 公共 
网 络 节点 (如 路 由 器 ) 透 明 , 即 公用 网 络 中 的 路 由 节点 不 会 知道 所 传输 的 数据 是 否 是 用 于 专 
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Intranet File AAA 
Server Server Server 


Router 


一 


Remote Office 


Telecommuter 


图 8.4 隧道 技术 的 VPN 网 络 拓扑 


用 网 络 的 。 

另 一 种 实现 VPN 的 技术 是 虚拟 路 由 (virtual route, VR) 或 虚拟 路 由 器 技术 。 虚 拟 路 由 
器 在 软件 层面 上 效仿 物理 路 由 器 。 虚 拟 路 由 器 有 其 各 自 的 IP 地 址 和 转发 表 , 并 且 它 们 的 路 
由 是 相互 独立 和 隔离 的 。 从 用 户 的 角度 出 发 ,虚拟 路 由 器 的 功能 和 物理 路 由 器 是 相同 的 。 
虚拟 路 由 器 正 是 利用 路 由 信息 隔离 的 特性 为 VPN 用 户 提供 数据 私有 性 服务 的 。 

如 图 8.5 所 示 ,VPN-1 连接 在 虚拟 路 由 器 VR-1 中 ,而 VPN-2 连接 在 虚拟 路 由 器 VR-2 
上 ,VR-1 和 VR-2 的 路 由 表 是 各 自 独立 和 相互 隔离 的 。 因 此 ,VPN-1 和 VPN-2 之 间 相 当 于 
处 在 两 个 不 同 子 网 中 。 而 VR-1 的 本 地 和 远程 网 络 之 间 可 以 通过 因特网 交换 路 由 信息 , 相 
当 于 处 在 同一 个 子 网 中 ,可 以 互相 访问 。 而 无 论 是 本 地 还 是 远程 的 VR-2 连接 的 网 络 用 户 
都 不 能 访问 VR-1 网 络 的 数据 ,因为 他 们 没有 该 网 络 的 路 由 信息 。 


图 8.5 基于 虚拟 路 由 器 的 VPN 
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8.1.2 VPN 分 类 


有 多 种 VPN 的 分 类 方法 ,如 按 网 络 拓扑 、 按 实现 VPN 的 协议 层次 和 按 用 户 特征 划分 等 。 

(1) 按 网 络 拓扑 划分 

按照 实现 VPN 的 网 络 拓扑 不 同 , 可 以 将 VPN 网 络 划 分 为 远程 访问 (remote access) 和 
工作 地 到 工作 地 (site to site) 两 种 。 

Q@ 远程 访问 。 

如 图 8. 6 所 示 ,远程 终端 用 户 通过 VPN 连接 到 总 部 网 络 中 ,并 和 总 部 网 络 进行 安全 通 
信 。 例 如 ,一 个 公司 雇员 从 家 中 利用 拨号 接 人 因特网 ,再 拨 入 公司 总 部 的 VPN 服务 器 , 则 
他 可 以 安全 地 从 远程 访问 公司 的 机 密 资 料 。 


移动 用 户 


家 庭 用 户 
图 8.6 远程 访问 VPN 


这 种 网 络 拓扑 中 ,如 果 采 用 隧道 技术 .VPN 隧道 将 在 终端 用 户 (VPN 客户 端 ) 和 总 部 网 
络 的 边缘 设备 ( 即 VPN 服务 器 ,如 路 由 器 .防火墙 和 NAS 等 ) 上 建立 。 客 户 端 使 用 VPN 客 
户 端 软 件 氢 入 VPN 服务 器 。 

@ 工作 地 到 工作 地 。 

如 图 8.7 所 示 ,两 个 局 域 网 通过 VPN 互 连 。 例 如 ,一 个 公司 具有 两 个 地 理 位 置 不 同 的 
办 公 地 点 ,这 两 个 办 公 地 点 通过 VPN 互 连 , 通 过 因特网 进行 安全 通信 。 如 果 采 用 隧道 技 
术 ,VPN 隧道 将 在 两 个 分 部 门 网 络 的 边缘 设备 (如 路 由 器 .防火 墙 和 NAS 等 ) 上 建立 。 

(2) 按 协议 层次 划分 

理论 上 ,VPN 可 以 在 Internet 的 任何 协议 层 (TCP/IP 参考 模型 ) 实 现 , 包 括 2 层 VPN 
(如 PPTP、L2F 和 L2TP)、2.5 层 VPN( 如 MPLS VPN)、3 层 VPN( 如 IPSec VPN)、4 层 
VPN( 如 位 于 应 用 层 和 传输 层 之 间 的 SSL/TLS、SSH 和 SOCKS) 及 5 层 VPN( 如 应 用 层 代 
理 .DNSSec 等 )。 如 图 8. 8 所 示 。 

(3) 按 用 户 划 分 

@ 企业 内 联网 (Intranet) 。 
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图 8.7 工作 地 到 工作 地 VPN 


应 用 层 一 一 一 加 密 E-mail、DNSSec 
传输 层 一 一 一 SSL/TLS、SSH 和 SOCKSv5 
网 络 层 一 -一 一 IPSec 
一 MPLS VPN 
数据 链 路 层 架构 在 公用 架构 上 的 “专用 ” 


ATM 或 帧 中 继 ， 网 络 链接 层 
加 密 (例如 PPTP、L2F 和 L2TP) 


图 8.8 VPN 在 各 层 的 实现 


这 种 网 络 中 只 允许 组 织 内 部 的 用 户 之 间 通 过 VPN 进行 通信 。 可 以 将 一 个 内 部 网 络 地 
址 分 配给 远程 的 工作 场地 或 是 计算 机 ,这 样 拥有 这 个 专用 网 络 地 址 的 主机 将 被 当 作 本 地 用 
户 对 待 ,可 以 在 局 域 网 中 共享 数据 。 

@ 企业 外 联网 (Extranet) 。 

本 地 和 远程 VPN 用 户 之 间 有 限制 地 相互 访问 对 方 的 资源 。 这 种 网 络 中 需要 区 别 远 程 
VPN 用 户 和 本 地 用 户 ,通过 访问 控制 .身份 认证 和 授权 机 制 实现 他 们 对 不 同 资源 的 不 同 访 
问 权限 。 

VPN 可 采用 不 同 的 协议 实现 ,如 IPSec、PPTP、L2F/L2TP 及 MPLS 等 。IPSec 隧道 协 
议 见 第 5 章 ,下 面 介绍 PPTP、L2F、L2TP 及 MPLS VPN 技术 。 


B13 PPTP 


点 对 点 隧道 协议 (PPTP) 由 RFC 2637 定义 , 它 利 用 二 层 协议 PPP 承载 VPN 业务 。 
PPTP 最 早 由 Microsoft 提出 ,得 到 Ascend、3COM 等 公司 支持 ,如 Windows NT 4.0 以 上 
版 本 的 操作 系统 中 都 提供 了 该 协议 的 实现 ,包括 PPTP VPN 客户 端 和 服务 器 。PPP 支持 
多 种 网 络 协议 ,可 把 IP、IPX、AppleTalk 或 NetBEUI 的 数据 封装 在 PPP 报 文中 ,再 将 PPP 
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报 文 封装 在 PPTP 隧道 协议 中 ,最 后 在 IP 网 络 中 进行 传输 。 

PPTP 通 过 PPTP 控制 连接 来 创建 维护 和 终止 一 条 隧道 ,并 使 用 通用 路 由 封装 
(generic routing encapsulation,GRE) 对 PPP 帧 进行 封装 ,GRE 即 PPTP 隧道 协议 。 封 装 
前 ,PPP 帧 的 有 效 载荷 即 有 效 传输 数据 首先 必须 经 过 加 密 、 压 缩 或 是 两 者 的 混合 处 理 。 

PPTP 使 用 的 认证 机 制 与 创建 PPP 连接 时 相同 ,包括 PAP、EAP、CHAP 、MS-CHAP 
和 Shiva 密码 字 认 证 协议 (shiva password authentication protocol, SPAP) 等 。PPTP 继承 
PPP 有 效 载 荷 的 加 密 和 压缩 方法 。 在 Windows 操作 系统 中 ,由 于 PPP 帧 使 用 微软 点 对 点 
加 密 技 术 (Microsoft point-to-point encryption, MPPE) 进 行 加 密 , 因 此 认证 机 制 必须 采用 
EAP 或 MS-CHAP。MPPE 只 提供 连接 加 密 , 而 不 提供 端 到 端的 加 密 。 如 果 应 用 中 要 求实 
现 端 到 端 加 密 , 则 可 在 PPTP 隧道 建立 之 后 ,使 用 IPSec 对 两 端的 IP 数据 流 进行 加 密 处 理 。 


1. PPP 工作 过 程 
如 图 8. 9 所 示 ,PPTP 的 工作 过 程 描述 如 下 。 


Remote ISP NAS 
Computer with 
PAC 


PNS/NAS 


Private 
Nerwork 


PPP 
@ 
PPTP Control Channel 
@ 一 一 
@- PPTP Tunnel 人 
名 二 PPP 
@- IP Datagrams 


图 8.9 PPTP 工作 过 程 


图 8.9 中 ,PPTP VPN 客户 端 称 为 PAC(PPTP access concentrator) ,由 用 户 的 操作 系 
统 集成 (如 Windows 的 VPN 拨号 网 络 客户 端 )。PPTP 服务 器 称 为 PNC(PPTP network 
server) ,图 中 为 内 部 网 络 的 NAS 集成 。ISP NAS 提供 用 户 拨号 访问 互联 网 服务 。 

@ 远程 计算 机 通过 PPP 拨号 连接 到 本 地 IPS 网 络 接 入 服务 器 NAS 上 (这 一 步 并 不 是 
必需 的 ,用 户 也 可 以 通过 LAN 等 其 他 的 方式 接 入 Internet) 。 

@ PPTP 的 客户 端 PAC 通过 Internet 建立 和 PPTP 服务 器 PNS 之 间 的 控制 连接 ( 通 
过 TCP 协议 )。 即 VPN 客户 端 通过 因特网 和 VPN 服务 器 建立 TCP 连接 ,然后 传输 PPTP 
控制 信息 。 

@) PPTP 隧道 的 通信 参数 通过 这 个 控制 连接 进行 协商 ,协商 完毕 后 PPTP 隧道 被 建立 。 

@ 远程 计算 机 通过 刚才 建立 的 PPTP 隧道 建立 第 二 个 经 由 PAC 到 PNS 的 PPP 连接 ， 
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从 而 接 入 到 专用 网 络 的 NAS。 这 时 ,PNS 可 以 为 远程 客户 端 分 配 内 部 网 络 IP 地 址 ,并 且 可 
以 通过 CHAP 等 机 制 来 鉴别 客户 端 或 服务 器 。 
@@ 由 GRE 封装 的 PPP 帧 通过 IP 协议 在 Internet 中 传输 。 


2. PPTP 控制 连接 与 隧道 维护 


PPTP 的 控制 信息 经 过 PPTP 控制 连接 传输 ,PPTP 控制 连接 使 用 TCP 协议 在 PPTP 
客户 端 和 (PAC)PPTP 服务 器 (PNS) 之 间 建 立 ,PPTP 客户 机 使 用 动态 分 配 的 TCP 端口 号 ， 
PPTP 服务 器 则 使 用 保留 TCP 端口 号 1723。 控 制 连接 的 初期 将 建立 PPTP 控制 连接 自身 ， 
后 期 负责 建立 PPTP 隧道 ( 称 为 PPTP 呼叫 ) 。 

PPTP 控制 信息 包括 PPTP 控制 连接 管理 和 PPTP 呼叫 管理 两 种 。PPTP 控制 连接 管 
理 负责 PPTP 控制 连接 自身 的 建立 、 维 护 和 终止 ,包括 周期 性 地 发 送 回 送 请 求 和 回 送 应 答 消 
息 , 以 检测 客户 机 与 服务 器 之 间 可 能 出 现 的 连接 中 断 。PPTP 呼叫 管理 负责 PPTP 隧道 的 
建立 .维护 和 终止 。 

如 图 8. 10 所 示 ,PPTP 控制 消息 包括 一 个 IP 报头 ,一 个 TCP 报头 和 PPTP 控制 信息 。 
图 中 所 示 的 PPTP 控制 连接 数据 包 还 包括 数据 链 路 层 报 头 和 报 尾 ,该 数据 链 路 层 由 公共 基 
础 设施 如 因特网 的 通信 子 网 提供 。 


数据 链 路 层 报头 正 TCP PPTP 控制 信息 | 数据 链 路 报 尾 
Rs 
PC? 
用 户 端 : 动态 服务 器 端 : 1723 
| a 
TCP 连 接 


图 8.10 PPTP 控制 消息 的 封装 


PPTP 控制 信息 的 数据 包 格式 如 图 8. 11 所 示 。 


16 位 32 位 
长 度 PPTP 消息 类 型 
Cookie 
控制 信息 类 型 保留 0 
协议 版 本 保留 1 
帧 类 型 
最 大 会 话 数 固件 修订 版 本 
DNS 名 称 
供应 商 字 串 


图 8.11 PPTP 控制 消息 格式 


长 度 : 该 PPTP 信息 的 8 位 总 长 ,包括 整个 PPTP 头 。 
PPTP 消息 类 型 : 可 能 值 如 下 。 
一 一 控制 信息 
一 一 管理 信息 
Cookie: 以 连续 的 0x1A2B3C4D 进行 发 送 , 其 目的 是 确保 接收 端 与 TCP 数据 流 间 
的 同步 。 
控制 信息 类 型 : 包括 控制 连接 管理 (Control Connection Management) 和 呼叫 管理 
(Call Management) 两 种 。 其 中 控制 连接 管理 的 可 能 值 如 下 。 
一 一 开始 控制 连接 请 求 (Start-Control-Connection-Request) 
一 一 开始 控制 连接 应 答 (Start-Control-Connection-Reply) 
一 一 停止 控制 连接 请 求 (Stop-Control-Connection-Request) 
一 一 停止 控制 连接 应 答 (Stop-Control-Connection-Reply) 
回应 请 求 (Echo-Request) 
回应 答复 (Echo-Reply) 
呼叫 管理 的 可 能 值 如 下 。 
一 一 导出 呼叫 请 求 (Outgoing-Call-Request) 
一 一 导出 呼叫 应 答 (Outgoing-Call-Reply) 
一 一 导入 呼叫 请 求 (Incoming-Call-Request) 
一 一 导入 呼叫 应 答 (Incoming-Call-Reply) 
一 一 导入 一 呼叫 一 连接 (Incoming-Call-Connected) 
一 一 呼叫 清除 请 求 (Call-Clear-Request) 
呼叫 一 断 开 连 接 一 通告 (Call-Disconnect-Notify) 
一 一 广域网 错误 通告 (WAN-Error-Notify) 
一 一 设置 链 路 信息 (Set-Link-Info) 
保留 0 & 1: 必须 设置 为 0。 
协议 版 本 PPTP 的 版 本 号 。 
帧 类 型 : 该 信息 发 送 方 可 以 提供 。 
一 一 异步 帧 支持 (asynchronous framing supported) 
同步 帧 支持 (synchronous framing supported) 
承载 性 能 标识 : 该 信息 发 送 方 可 以 提供 。 
一 一 模拟 访问 支持 (analog access supported) 
一 一 数字 访问 支持 (digital access supported) 
最 大 会 话 数 : 该 PAC 可 以 支持 的 个 人 PPP 会 话 总 数 。 
固件 修订 版 本 : 车 由 PAC 出 发 , 则 包括 发 出 PAC 时 的 固件 修订 本 编号 ; 若 由 PNS 
出 发 , 则 包括 PNS PPTP 驱动 版 本 。 
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。 DNS 名 称 : 标识 PAC 或 PNS 的 DNS 名 称 。 

。 供应 商 字 串 : 标识 特定 供应 商 字 串 ,指明 使 用 的 PAC 类 型 或 PNS 软件 类 型 。 

以 下 讲述 PPTP 呼叫 与 控制 连接 的 创建 维护 和 终止 过 程 。 

(1) PPTP 呼叫 与 控制 连接 创建 

PPTP 控制 连接 通过 以 下 步骤 建立 。 

@ PPTP 客户 机 上 一 个 动态 分 配 TCP 端口 与 PPTP 服务 器 上 的 TCP 端口 1723 建立 
TCP 连接 。 

@ PPTP 客户 端 发 送 一 条 PPTP Start-Control-Connection-Request( 开 始 控制 连接 请 
求 ) 消 息 ,后 者 将 用 于 建立 一 个 PPTP 控制 连接 。 

@ PPTP 服务 器 使 用 一 条 PPTP Start-Control-Connection-Reply( 开 始 控 制 连接 应 答 ) 
消息 予以 响应 。 

@ PPTP 客户 端 发 送 一 条 PPTP Outgoing-Call-Request( 导 出 呼叫 请 求 ) 消 息 , 并 选择 
一 个 呼叫 ID(call ID) ,识别 用 于 将 数据 从 PPTP 客户 端 发 送 到 PPTP 服务 器 的 PPTP 隧 
道 。PPTP 客户 端 使 用 PPTP Outgoing-Call-Request 消息 从 PPTP 服务 器 请 求 一 个 PPTP 
隧道 (也 称 为 呼叫 ) 。 

@ PPTP 服务 器 发 送 一 条 PPTP Outgoing-Call-Reply( 导 出 呼叫 应 答 ) 消 息 ,并 选择 自 
身 的 呼叫 ID ,识别 将 数据 从 PPTP 服务 器 发 送 到 PPTP 客户 端的 PPTP 隧道 。 

@ PPTP 客户 端 发 送 一 条 PPTP Set-Link-Info( 设 置 链 路 信息 ) 消 息 来 指定 PPTP 协商 

PPTP 呼叫 与 控制 连接 创建 过 程 的 执行 结果 如 下 。 

。 PPTP 服务 器 已 允许 创建 一 个 PPTP 隧道 。 

。 PPTP 客户 端 已 确定 在 通过 PPTP 隧道 向 PPTP 服务 器 发 送 数据 时 在 GRE 报头 中 

使 用 的 呼叫 ID( 即 隧道 标识 符 ) 。 
。 PPTP 服务 器 已 确定 在 通过 PPTP 隧道 向 PPTP 客户 端 发 送 数据 时 在 GRE 报头 中 
使 用 的 呼叫 ID。 

(2) PPTP 控制 连接 维护 

为 了 维持 PPTP 控制 连接 ,不 管 PPTP 客户 端 和 服务 器 之 间 是 否 正在 发 送 GRE 封装 
的 数据 ,PPTP 客户 端 每 隔 60s 发 送 一 条 PPTP 回应 请 求 (echo request) 消 息 。 在 收 到 该 请 
求 消息 时 ,PPTP 服务 器 将 发 送 一 条 PPTP 回应 答复 (echo reply) 消 息 。PPTP 回应 请 求 消 
息 包含 一 个 Identifier 字段 ,该 字段 的 值 将 在 PPTP 回应 答复 消息 中 回 显 , 以 便 PPTP 客户 
端 能 够 将 PPTP 回应 请 求 与 其 应 答 相 匹配 。 

(3) PPTP 呼叫 与 控制 连接 终止 

为 了 终止 PPTP 连接 ,PPP 连接 、PPTP 协议 连接 (控制 连接 ) 和 TCP 连接 必须 全 部 终 
止 。 下面 以 PPTP 客户 端 发 起 终止 请 求 为 例 讲述 PPTP 呼叫 与 控制 连接 终止 过 程 。 客 户 
端 使 用 如 下 步骤 终止 PPTP 连接 。 
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Q@ PPTP 客户 端 发 送 一 条 PPTP Set-Link-Info 消息 指定 链 路 的 PPP 参数 。 

@ PPTP 客户 端 发 送 一 条 Link Control Protocol(LCP)Terminate-Request 消息 来 终止 
PPP 连接 。LCP 是 PPP 协议 族 中 的 一 种 协议 , 它 负 责 PPP 链 路 连接 的 配置 和 维护 。 

@ PPTP 服务 器 发 送 一 条 PPTP Set-Link-Info 消息 来 指定 链 路 的 PPP 参数 。 

@ PPTP 服务 器 发 送 LCP Terminate-Ack 消息 来 响应 LCP Terminate-Request 消息 ， 
从 而 终止 PPP 连接 。 

@ PPTP 客户 端 发 送 一 条 PPTP Clear-Call-Request 消息 ,向 PPTP 服务 器 通告 PPTP 
控制 连接 即将 终止 。 

@ PPTP 服务 器 使 用 一 条 PPTP Call-Disconnected-Notify 消息 进行 响应 

@ PPTP 客户 端 发 送 一 条 PPTP Stop-Control-Connection-Request 消 息 来 终止 PPTP 


控制 连接 。 

@ PPTP 服务 器 使 用 一 条 PPTP Stop-Control-Connection-Reply 消息 进行 响应 。 

@ TCP 连接 终止 。 

3. PPTP 数据 封装 

PPTP 数据 的 隧道 化 过 程 采用 多 层 封装 的 方法 。 图 8. 12 显示 了 在 PPTP 隧道 中 传输 
的 数据 包 格 式 。 


帧 头 IP 报头 GRE 报头 | PPP 报头 加 密 的 PPP 净 载 荷 帧 尾 


图 8.12 在 隧道 中 传输 的 PPTP 数据 包 格 式 


(1) PPP 封装 

在 建立 PPTP 控制 连接 之 后 ,数据 就 可 以 在 PPTP 客户 端 和 PPTP 服务 器 之 间 发 送 了 。 
数据 包 首先 被 加 密 并 使 用 一 个 PPP 报头 进行 封装 , 即 初始 PPP 有 效 载荷 如 IP 数据 包 、IPX 
数据 包 或 NetBEUI 帧 等 经 过 加 密 后 ,添加 PPP 报头 ,封装 形成 PPP 帧 。PPP 帧 使 用 通用 
路 由 封装 GRE 报头 进行 封装 ,该 报头 已 针对 PPTP 修改 过 。 然 后 ,GRE 封装 的 PPP 帧 使 
用 一 个 IP 报头 进行 封装 ,这 个 报头 包含 对 应 于 PPTP 隧道 端点 的 源 和 目标 IP 地 址 。 

(2) GRE 封装 

通用 路 由 封装 GRE 定义 了 在 一 种 网 络 层 协 议 上 封装 另 一 种 网 络 层 协议 的 通用 方法 。 
GRE 是 由 Cisco 和 Net-smiths 等 公司 于 1994 年 提交 给 IETF 的 ,由 RFC 1701 和 RFC 
1702 定义 。GRE 并 不 是 为 VPN 协议 设计 的 ,但 PPTP VPN 中 使 用 GRE 封装 PPP 帧 ,这 
种 封装 可 以 称 为 GRE 隧道 。 目 前 多 数 厂商 的 网 络 设备 均 支持 GRE 隧道 协议 。 

GRE 的 隧道 由 两 端的 源 IP 地 址 和 目的 IP 地 址 来 定义 ,允许 用 户 使 用 IP 包 封 装 IP、 
IPX 和 AppleTalk 包 , 并 支持 全 部 的 路 由 协议 (如 RIP2、OSPF 等 )。 通 过 GRE, 用 户 可 以 利 
用 公共 IP 网 络 连接 IPX 网 络 、AppleTalk 网 络 ,还 可 以 使 用 保留 地 址 进行 网 络 互 连 , 或 者 对 
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公 网 隐藏 企业 网 的 IP 地 址 。 

PPTP 使 用 GRE 的 扩展 版 本 来 传输 用 户 PPP 包 。 这 些 扩展 允许 PAC 和 PNS 之 间 传 
输 用 户 数据 的 隧道 提供 低层 拥塞 控制 和 流量 控制 。 这 种 机 制 允 许 高 效 使 用 隧道 可 用 带宽 并 
且 避 免 不 必 要 的 重 发 和 缓冲 区 溢出 。 经 过 扩展 应 用 于 封装 PPTP 数据 包 的 GRE 报 文 格式 
如 图 8. 13 所 示 。 


Checksum Present 1b 一 0 
Routing Present lb =0 
Key Present 1b 一 1 
Sequence Number Present lb 
Strict Source Route Present lb =0 
Recursion Control 3b =0 
Acknowledgement Number Present lb 
Flags 4b =0 
Version 3b = 
Protocol Type 16b 一 0x880B 
Payload Length 16b 
Call ID 16b 
Sequence Number 32b 
Acknowledgement Number 32b 


图 8.13 用 于 PPP 封装 的 GRE 消息 


。 Checksum Present: 校 验 和 标志 位 , 当 设 置 为 1 时 ,表示 提供 了 一 个 Checksum 字 
段 。 对 于 PPTP ,该 标志 总 被 设置 为 0。 

。 Routing Present: 路 由 标志 位 . 当 设 置 为 1 时 ,表示 提供 了 一 个 Routing 字段 。 对 于 
PPTP ,该 标志 总 被 设置 为 0。 

。 Key Present: Key 字段 标志 位 , 当 设 置 为 1 时 ,表示 提供 了 一 个 Key 字段 。 对 于 
PPTP ,该 标志 总 被 设置 为 1。Key 字段 是 Protocol Type、Payload Length 和 Call ID 


字段 的 组 合 。 
。 Sequence Number Present: 序列 号 标志 位 , 当 设 置 为 1 时 ,表示 提供 了 Sequence 
Number 字段 。 


。 Strict Source Route Present: 严格 源 路 由 标志 , 当 设 置 为 1 时 .表示 提供 了 一 个 “ 严 
格 源 路 由 >”。 对 于 PPTP ,该 标志 总 被 设置 为 0。 

。 Recursion Control: 一 个 用 于 递归 的 3 位 标志 。 对 于 PPTP ,该 字段 总 被 设置 为 0。 

。 Acknowledgement Number Present: 一 个 1 位 标志 , 当 设 置 为 1 时 ,表示 提供 了 
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Acknowledgement Number 字段 。 

。 Flags: 一 个 用 于 GRE 标志 的 4 位 字段 。 对 于 PPTP ,该 字段 总 被 设置 为 0。 

。 Version 一 个 用 于 表示 GRE 报头 版 本 的 3 位 字段 。 对 于 PPTP, 该 字段 总 被 设置 为 1。 

。 Protocol Type: 一 个 用 于 存储 GRE 有 效 负 载 (payload) 的 EtherType 值 的 16 位 字 
段 。 对 于 PPTP ,该 字段 总 被 设置 为 0x880B, 即 PPP 帧 的 EtherType 值 。 

。 Payload Length: 一 个 用 于 表示 GRE 有 效 负载 长 度 的 16 位 字段 。 

。 Call ID: 一 个 用 于 表示 PPTP 隧道 标识 符 的 16 位 字段 。 对 于 PPTP 连接 ,Call ID 
字段 有 两 个 不 同 的 值 。 一 个 值 用 于 PPTP 客户 端 发 送 的 数据 , 另 一 个 值 用 于 PPTP 
服务 器 发 送 的 数据 。 

。 Sequence Number: 一 个 用 于 表示 这 个 数据 包 的 序列 号 的 32 位 字段 

。 Acknowledgement Number: 一 个 32 位 字段 .用 于 表示 这 个 隧 道 接收 的 某 个 GRE 
封装 的 数据 包 的 最 高 序列 号 。 

(3) 数据 链 路 层 封装 

数据 链 路 层 封 装 是 IP 数据 包 多 层 封装 的 最 后 一 层 ,依据 不 同 的 外 发 物理 网 络 再 添加 相 

应 的 数据 链 路 层 报头 和 报 尾 。 例 如 ,如 果 IP 数据 包 在 以 太 网 上 传输 , 则 用 以 太 网 报头 和 报 
尾 对 IP 数据 包 进行 数据 链 路 层 封装 ; 如 果 IP 数据 包 在 点 到 点 网 络 上 传输 ,如 模拟 电话 网 
或 ISDN 等 , 则 用 PPP 报头 和 报 尾 对 IP 数据 包 进 行 数据 链 路 层 封装 。 

(4) PPTP 数据 包 的 接收 处 理 

PPTP 客户 机 或 PPTP 服务 器 在 接收 到 PPTP 数据 包 后 ,将 做 如 下 处 理 。 

。 处 理 并 去 除数 据 链 路 层 报头 和 报 尾 。 

。 处 理 并 去 除 IP 报头 。 

。 处 理 并 去 除 GRE 和 PPP 报头 。 

。 如 果 需 要 的 话 ,对 PPP 有 效 载荷 即 传输 数据 进行 解密 或 解压 缩 。 

。 对 传输 数据 进行 接收 或 转发 处 理 。 


8.1.4 L2F/L2TP 


L2F(layer 2 forwarding) 由 Cisco 提出 ,RFC 2341 定义 。 它 可 用 于 传输 链 路 层 数据 包 ， 
如 PPP/HDLC/SLP 等 。 和 了 PPTP 不 同 ,L2F 可 通过 多 种 载体 传输 ,如 ATM、FR 和 IP 等。 
L2F 现 已 逐步 被 L2TP 所 取代 。 

如 图 8. 14 所 示 ,L2F 隧道 由 ISP 负责 建立 ,其 工作 过 程 描述 如 下 。 

@ 远程 主机 通过 PPP 或 SLIP 拨 入 本 地 的 ISP 网 络 。 

@ L2F 建立 一 个 从 ISP 的 NAS 到 私有 网 络 的 隧道 。 该 隧道 使 用 面向 数据 包 的 协议 
(如 UDP. 帧 中 继 ) 作 为 封装 协议 ,以 提供 端 到 端的 连接 。 

@ L2F 建立 NAS 到 本 地 网 关 (home gateway) 之 间 的 PPP 连接 。 
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图 8.14 L2F 工作 过 程 


@ PPP 帧 通过 IP 协议 或 其 他 协议 (如 ATM.、FR 等 ) 在 公共 网 络 上 传输 。 

L2TP(layer 2 tunneling protocol) 协 议 是 由 IETF 起 草 , Microsoft、Ascend、Cisco 和 
3COM 等 公司 参与 的 二 层 隧道 协议 , 它 结合 了 上 述 L2F 和 PPP 协议 的 特点 ,利用 公共 网 络 
封装 PPP 帧 ,可 以 实现 和 企业 原 有 非 IP 网 络 的 兼容 。 同 时 L2TP 还 继承 了 PPTP 的 流量 
控制 技术 ,支持 MPCmultilink protocol) ,把 多 个 物理 通道 捆绑 为 单一 的 逻辑 信道 ,并 使 用 
PPP 可 靠 性 发 送 协议 (RFC 1663) 实 现 数据 包 的 可 靠 传 输 。L2TP 隧道 在 两 端的 VPN 服务 
器 之 间 采 用 密码 握手 协议 CHAP 来 验证 对 方 的 身份 。L2TP 可 以 在 任何 提供 面向 分 组 的 
点 对 点 连接 上 建立 隧道 ,包括 X. 25、 帧 中 继 和 异步 传输 模式 ATM。 

使 用 L2TP 的 VPN 网 络 逻 辑 图 如 图 8. 15 所 示 。 当 用 于 IP 网 络 环境 时 ,L2TP 同 
PPTP 非常 相似 。 一 条 L2TP 隧道 在 一 个 L2TP 客户 和 一 个 L2TP 服务 器 之 间 建 立 。 客 户 
端 可 以 直接 连接 到 一 个 IP 网 络 或 者 通过 拨号 进入 一 个 网 络 接 入 服务 器 来 建立 IP 连接 。 用 
户 数据 被 封装 为 PPP 协议 ,再 使 用 L2TP 协议 封装 后 在 公共 网 络 上 传输 。 

图 8. 16 给 出 了 使 用 L2TP 构建 VPN 的 网 络 拓扑 。 其 中 ,LAC 是 L2TP 访问 集中 器 
(L2TP access concentrator) ,是 附属 在 交换 网 络 上 的 具有 PPP 端 系 统 和 L2TP 协议 处 理 能 
力 的 设备 , 即 L2TP VPN 客户 端 。LAC 一 般 就 是 一 个 网 络 接 入 服务 器 NAS(network 
access server) , 它 的 作用 是 为 用 户 提供 通过 PSTN/ISDN 的 网 络 接 入 服务 。LNS 是 L2TP 
网 络 服务 器 (L2TP network server) ,实质 就 是 PPP 端 系统 上 用 于 处 理 L2TP 协议 的 服务 器 
软件 , 即 L2TP VPN 服务 器 。 

在 通过 L2TP 构建 的 VPN 网 络 中 ,LNS 和 LAC 对 之 间 存 在 着 两 种 类 型 的 连接 ,一 种 
是 隧道 (tunnel) 连 接 , 它 定义 了 一 个 LNS 和 LAC 对 ; 另 一 种 是 会 话 (session) 连 接 , 它 复 用 
在 隧道 连接 之 上 ,用 于 表示 承载 在 隧道 连接 中 的 每 个 PPP 会 话 过 程 。 

L2TP 数据 包 封 装 如 图 8. 17 所 示 。 用 户 数据 包 ( 典 型 的 ,为 IP 数据 包 ) 被 封装 为 PPP 
帧 ,PPP 帧 使 用 L2TP 协议 进行 封装 ,然后 再 封装 为 IP 报 文 ,最 后 封装 为 通信 子 网 ,如 
ATM .FR 等 协议 的 数据 包 。 
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图 8.15 L2TP VPN 的 逻辑 网 络 


远程 用 户 


L2TP 


分 支 机 构 


图 8.16 L2TP VPN 网 络 拓扑 
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图 8.17 L2TP 封装 


L2TP 消息 格式 如 图 8. 18 所 示 。L2TP 连接 的 维护 及 PPP 数据 的 传送 都 是 通过 L2TP 
消息 的 交换 来 完成 的 ,这 些 消 息 再 通过 UDP 的 1701 端口 承载 于 TCP/IP 之 上 。 


12 16 32 位 
和 下 X X Ss X O 了 X X X VER Length 
Tunnel ID Session ID 
Ns(opt) Nr(opt) 


Offset SizeCopt) 


图 8.18 L2TP 消息 格 


式 


Offset Pad(opt) 
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L2TP 消息 分 为 两 类 : 一 种 是 控制 消息 , 另 一 种 是 数据 消息 。 控 制 消 息 用 于 隧道 连接 
会 话 连接 的 建立 与 维护 ,其 中 的 参数 用 AVP(attribute value pair) 值 对 来 表示 ,使 得 协议 
具有 很 好 的 扩展 性 。 同 时 在 控制 消息 的 传输 过 程 中 还 应 用 了 多 种 机 制 来 保证 L2TP 传输 的 
可 靠 性 ,如 消息 丢失 后 重新 传送 和 定时 检测 通道 连通 性 等 。 数 据 消息 用 于 承载 用 户 的 PPP 
会 话 数据 包 ,L2TP 数据 消息 的 传输 不 采用 重新 传输 机 制 , 所 以 它 无 法 保证 传输 的 可 靠 性 ， 
但 这 一 点 可 以 通过 上 层 协议 如 TCP 等 得 到 保证 。 此 外 ,数据 消息 的 传输 可 以 根据 应 用 的 需 
要 ,灵活 地 采用 流量 控制 或 非 流 量 控制 机 制 ,甚至 可 以 在 传输 过 程 中 动态 地 使 用 消息 序列 
号 ,从 而 动态 地 激活 消息 顺序 检测 和 流量 控制 的 功能 。 


T: 表示 消息 类 型 。 数 据 信息 为 0; 控制 信息 为 1。 

L: 当 设置 该 字段 时 ,说 明 Length 字段 存在 ,表示 接收 数据 包 的 总 长 。 对 于 控制 信 
息 , 必 须 设置 该 值 。 

X: 为 扩展 预 留 使 用 。 在 导出 信息 中 所 有 预 留 位 被 设置 为 0, 导 入 信息 中 该 值 被 
忽略 。 

S: 如 果 设 置 S 位 ,那么 Nr 字段 和 Ns 字段 都 存在 。 对 于 控制 信息 ,S 位 必须 设置 。 
0O: 当 设 置 该 字段 时 ,表示 在 有 效 负 载 信 息 中 存在 Offset Size 字段 。 对 于 控制 信息 ， 
该 字段 值 设置 为 0。 

P: 如 果 Priority(P) 位 值 为 1, 表 示 该 数据 信息 在 其 本 地 排队 和 传输 中 将 会 得 到 优 
先 处 理 。 

VER: 版 本 信息 。 

Length: 信息 总 长 ,包括 头 信息 类 型 AVP 及 与 特定 控制 信息 类 型 相关 的 AVP。 
Tunnel ID: 识别 控制 信息 应 用 的 Tunnel。 如 果 对 等 结构 还 没有 接收 到 分 配 的 
Tunnel ID, 那 么 Tunnel ID 必须 设置 为 0。 一旦 接收 到 分 配 的 Tunnel ID, 所 有 后 续 
数据 包 必 须 和 Tunnel ID 一 起 被 发 送 。 

Sesslon ID: 识别 控制 信息 应 用 的 Tunnel 中 的 用 户 会 话 。 

Nr: 期 望 在 下 一 个 控制 信息 中 接收 到 的 序列 号 。 

Ns: 数据 或 控制 信息 的 序列 号 。 

Offset Size & Pad: 规定 通过 L2F 协议 头 的 字 节 数 ,协议 头 是 有 效 负 载 数据 起 始 位 
置 。Offset Padding 中 的 实际 数据 并 没有 定义 。 


L2TP 继承 了 PPP 的 所 有 安全 特性 ,可 以 选择 多 种 身份 验证 机 制 (如 CHAP、 密 码 验证 
和 PAP 等 ) ,还 可 以 对 隧道 端点 进行 验证 ,这 使 得 通过 L2TP 所 传输 的 数据 更 加 安全 。 同 
时 ,L2TP 还 可 以 根据 特定 的 网 络 安全 需求 ,采用 隧道 加 密 . 端 对 端 数据 加 密 或 应 用 层 数 据 
加 密 等 方案 来 提高 数据 的 安全 性 。L2TP 协议 规范 并 没有 包含 加 密 或 者 管理 用 于 加 密 的 
密 钥 过 程 。 和 PPTP 相同 ,L2TP 可 以 使 用 IPSec 来 完成 IP 环境 下 的 数据 加 密 和 密 钥 


管理 。 


PPTP 和 L2TP 的 比较 如 表 8. 1 所 示 。 
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表 8.1 PPTP 和 L2TP 的 比较 


PPTP L2TP 
对 公共 网 络 的 要 求 IP IP、 帧 中 继 、X. 25、.ATM 
可 建 隧道 的 数量 单一 隧道 多 条 隧道 
压缩 包头 时 系统 的 开销 6 字 节 4 字 节 
隧道 验证 不 提供 支持 
传输 协议 TCP UDP 
其 他 性 能 提供 差错 和 流量 控制 


此 外 ,PPTP 协议 使 用 专门 的 控制 信息 即 PPTP 消息 对 PPTP 连接 以 及 隧道 进行 控制 
和 管理 ,然后 使 用 GRE 和 PPP 封装 用 户 数据 信息 。 也 就 是 说 ,在 PPTP VPN 中 ,控制 信息 
和 数据 信息 采用 不 同 的 协议 和 封装 方法 ,而 在 L2TP VPN 中 ,控制 信息 和 用 户 数据 信息 都 
采用 同一 种 消息 即 L2TP 封装 ,只 是 消息 类 型 不 同 。 

如 前 所 述 , 除 二 层 隧 道 协 议 PPTP、L2F 和 L2TP 外 ,IPSec 也 可 以 用 来 构建 VPN, 即 
IPSec VPN ,这 种 VPN 隧道 也 称 为 IPSec 隧道 。IPSec VPN 具有 IPSec 的 强大 安全 特性 ， 
包括 认证 、 消 息 完 整 性 和 机 密 性 服务 等 。 而 PPTP 和 L2TP 则 需要 依赖 IPSec 或 其 他 加 密 
方法 才能 获得 机 密 性 。 

同时 ,IPSec 基于 PKI 技术 , 它 可 以 为 路 由 器 之 间 、 防 火 墙 之 间或 者 路 由 器 和 防火 墙 之 
间 提 供 经 过 加 密 和 认证 的 通信 ,并 可 使 用 证 书 进行 身份 鉴别 。IPSec 的 实现 会 复杂 一 些 , 但 
其 安全 性 比 其 他 协议 完善 。 由 于 IPSec 是 基于 IP 的 三 层 隧 道 协议 ,因此 具有 较 好 的 通用 
性 ,现在 IPSec 协议 也 已 成 为 实施 VPN 的 重要 协议 。 


8.1.5 MPLS VPN 


多 协议 标记 交换 MPLS(multi-protocol label switch) 是 一 种 数据 包 的 高 速 转发 技术 。 
与 传统 逐 跳 IP 路 由 转发 机 制 不 同 , MPLS 网 络 中 的 边缘 路 由 器 LER(label edge router) 按 
照 一 定 规则 将 数据 包 分 类 形成 等 效 前 传 类 FEC(forwarding equal class) ,然后 标记 交换 路 
由 器 LSR(label switch router) 利 用 信 令 协议 为 FEC 分 配 一 个 定 长 标记 ,标记 产生 后 即 形成 
一 条 从 源 端 到 目的 端的 标记 交换 路 径 LSP(label switch path) 。 中 间 LSR 仅 根据 该 标记 来 
转发 数据 包 ,不 必 进 行 IP 最 长 匹配 查找 。MPLS 将 路 由 和 转发 机 制 相 分 离 ,提高 了 分 组 的 
转发 速度 ,可 降低 数据 包 的 传输 延迟 ,加快 网 络 传输 速度 。MPLS 提供 的 高 速 转发 .流量 工 
程 和 VPN 等 能 力 使 得 其 具有 良好 的 发 展 前 景 ,MPLS 被 称 为 下 一 代 上 骨干 网 络 交 换 平 台 。 

如 图 8. 19 所 示 ,MPLS 位 于 传统 五 层 网 络 参考 模型 的 第 二 层 与 第 三 层 协议 之 间 , 其 上 
层 与 下 层 可 以 是 当前 网 络 中 存在 的 各 种 协议 。 

MPLS 在 链 路 层 和 网 络 层 之 间 插 入 一 个 32 位 的 MPLS 头 部 ,MPLS 包头 的 格式 如 
图 8. 20 所 示 。 
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ATM Frame Relay Ethernet PPP EDDE 二 


图 8. 19 MPLS 和 其 他 层 的 关系 


二 层 头 部 | MPLS 头 部 


图 8.20 MPLS 数据 包 格式 


其 中 各 字段 的 说 明 如 下 。 

20 位 的 标记 字段 用 来 标识 标记 转发 路 径 。 

3 位 的 EXP 字段 通常 用 做 CoS(class of service) ,表明 服务 级 别 。 

1 位 的 S 字段 用 于 标识 该 MPLS 标记 是 否 为 底层 标记 。 

8 位 的 TTL 表明 数据 生存 期 ,防止 环 路 发 生 。 

图 8.21 给 出 了 一 个 MPLS 网 络 示意 图 。 一 个 MPLS 网 络 的 转发 设备 由 标记 边缘 路 由 
器 LER 和 标记 交换 路 由 器 LSR 构成 。 当 一 个 未 标记 的 数据 包 进 入 MPLS 网 络 时 ,LER 将 
根据 标记 策略 为 该 数据 包 加 上 MPLS 头 部 。 其 中 20 位 的 标记 字段 作为 标记 交换 路 径 的 索 
引 , 隐 式 地 指明 该 数据 包 需 要 经 过 的 路 径 ; 中 间 路 由 器 LSR 按照 该 标记 值 ,通过 查询 标记 
信息 库 (label information base,LIB) 来 确定 标记 交换 路 径 LSP, 进 行 MPLS 数据 包 的 转发 。 

图 8.19 所 示 的 MPLS 网 络 中 产生 了 两 条 LSP: 其 中 LSP1 沿 LER1-LSR1-LSR2- 
LSR3-LER2,LSP2 沿 LER1-LSR1-LSR2-LSR4-LSR3-LER2。 当 标记 包 到 达 出 口 路 由 器 
LER2 时 ,MPLS 包头 被 去 除 ,数据 包 被 恢复 成 原始 数据 包 , 并 根据 路 由 表 转 发 到 目的 地 。 

由 于 路 由 处 理 和 交换 效率 的 提高 ,网 络 延 迟 已 经 缩短 ,而 网 络 的 可 伸缩 性 增加 了 。 同 
时 ,MPLS 是 基于 标记 的 IP 路 由 选择 方法 ,这 些 标记 可 以 被 用 来 代表 逐 跳 式 或 者 显 式 路 由 ， 
指明 服务 质量 (quality of service,QoS) .虚拟 专 网 及 影响 一 种 特定 类 型 的 流量 (或 一 个 特殊 
用 户 的 流量 ) 在 网 络 上 的 传输 方式 等 各 类 信息 。 

对 于 到 达 同 一 目的 地 的 IP 包 ,MPLS 可 根据 其 服务 质量 的 要 求 建立 不 同 的 转发 路 径 ， 
以 达到 其 对 传输 质量 的 要 求 。 同 时 ,通过 对 特殊 路 由 的 管理 ,还 能 有 效 地 解决 网 络 中 的 负载 
均衡 和 拥塞 问题 。 当 网 络 中 出 现 拥 塞 时 ,MPLS 可 实时 建立 新 的 转发 路 由 来 分 散 流量 以 组 
解 网 络 拥塞 。 

IP 设备 和 ATM 设备 厂商 实现 MPLS 技术 是 在 各 自 的 基础 上 实施 的 ,对 于 IP 设备 商 ， 
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二 |Label Map 


非 MPLS 网 络 多 
MPLS 网 络 


LSP1:LER1-LSR1-LSR2-LSR3-LER2 口 酌 LSP1 的 标记 包 
2 国 LsP2 的 标记 包 
未 标记 包 


LSP2:LER1-LSR1-LSR2-LSR4-LSR3-LER2 


图 8.21 一 个 MPLS 网 络 示意 图 


它 修改 了 原来 IP 包 直 接 封 装 在 二 层 链 路 帧 中 的 规范 ,在 二 层 和 三 层 IP 数据 包头 之 间 插 人 
一 个 20 字 节 的 标签 (或 标记 ,label) ,而 ATM 设备 制造 商 则 利用 原 ATM 交换 机 上 的 VPI/ 
VCICvirtual path identifier /virtual channel identifier), 使 用 标签 代替 VPI/CVI, 同 时 在 
ATM 交换 机 上 修 引 ATM 信 令 ,引入 三 层 路 由 和 MPLS 信 令 ,使 用 路 由 协议 来 和 其 他 设备 
交换 三 层 路 由 信息 。 


1. MPLS VPN 体系 结构 与 工作 原理 


利用 MPLS 技术 可 以 方便 地 实现 VPN。 三 层 MPLS VPN 又 称 BGP MPLS VPN ,是 
一 种 基于 路 由 方式 的 MPLS VPN 解决 方案 。IETF RFC 2547 中 对 该 技术 做 了 规定 。 三 层 
MPLS VPN 的 网 络 结构 ,主要 由 PE(provider edge device, 运 营 商 边缘 设备 )、P (provide 
device, 运 营 商 设备 ) 和 CE(customer edge device, 用 户 边 缘 设 备 )3 种 设备 组 成 。 下 面 简要 
介绍 上 述 设备 所 实现 的 功能 。 

MPLS VPN 体系 结构 如 图 8. 22 所 示 。 用 户 工 作 场地 通过 客户 边缘 设备 CE 路 由 器 接 
入 MPLS 骨干 网 络 的 边缘 设备 PE 路 由 器 中 。 每 个 工作 场地 可 包含 一 个 或 多 个 VPN ,在 
PE 路 由 器 中 为 每 个 VPN 建立 一 个 虚拟 路 由 器 ,而 且 每 个 虚拟 路 由 器 都 有 各 自 的 路 由 表 和 
转发 表 , 称 为 VRF(VPN routing and forwarding)。 通 过 VREF ,一 个 VPN 的 路 由 信息 不 会 
扩散 到 其 他 VPN 中 。 利 用 边界 网 关 协 议 (border gateway protocol,BGP) 和 内 部 网 关 协 议 
(interior gateway protocol,IGP) 在 作为 BGP 对 等 实体 的 进 / 出 口 PE 路 由 器 之 间 建 立 LSP 
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隧道 ,这些 隧 道 可 以 隔离 不 同 的 VPN ,中 间 P 路 由 器 仅 进行 标记 数据 包 的 转发 ,而 无 法 获知 
网 络 中 的 VPN 信息 ,从 而 保证 VPN 数据 的 不 透明 性 。 
服务 提供 者 骨干 网 络 


图 8.22 MPLS VPN 网 络 


在 图 8. 22 的 PE1 中 建立 了 两 个 VRF ,分 别 为 VRF1 和 VRF2, 这 两 个 VRF 分 别 连 接 
不 同 的 物理 设备 CE, 即 VRF1 和 CE1 及 VPN1 相连 ,VRF2 和 CE2 及 VPN2 相连 。CE1 
将 其 VPN1 的 路 由 信息 通过 内 部 网 关 协 议 IGP 和 VRF1 交换 ,然后 这 种 内 部 路 由 信息 通过 
BGP 在 骨干 网 络 上 传输 并 发 布 至 PE2 中 ,PE2 再 将 VPN1 的 路 由 信息 通过 内 部 网 关 协 议 
发 布 至 CE2。VPN2 的 路 由 信息 通过 同样 的 方式 发 布 至 远 端的 CE4 中 ,但 不 会 扩散 至 CE2 
中 。 因 此 ,通过 BGP、IGP 及 虚拟 路 由 器 的 使 用 ,不 同 VPN 之 间 实 现 了 路 由 隔离 ,相同 
VPN 之 间 可 以 通信 。 

在 VRF 中 定义 的 和 VPN 业务 有 关 的 两 个 重要 参数 是 RD(route distinguisher) 和 RT 
(route target) 。RD 和 RT 的 长 度 都 是 64 位 。 有 了 虚拟 路 由 器 就 能 隔离 不 同 VPN 用 户 之 
间 的 路 由 ,也 能 解决 不 同 VPN 之 间 IP 地 址 空间 重 伙 的 问题 。 

正常 的 BGP4 协议 只 能 传递 IPv4 的 路 由 .由 于 不 同 VPN 用 户 具 有 地 址 空间 重 秋 的 问 
题 ,必须 修改 BGP 协议 。BGP 最 大 的 优点 是 扩展 性 好 ,可 以 在 原来 的 基础 上 再 定义 新 的 属 
性 ,通过 对 BGP 修改 ,把 BGP4 扩展 成 MP-BGP。 在 MP-IBGP 邻居 间 传 递 VPN 用 户 路 由 
时 打上 RD 标记 ,这 样 VPN 用 户 传 来 的 IPv4 路 由 转变 为 VPNv4 路 由 ,这 样 保 证 VPN 用 户 
的 路 由 到 了 对 端的 PE 上 ,能 够 使 对 端 PE 区 分 开 不 同 但 又 有 地 址 空间 重生 的 VPN 用 户 路 由 。 


2. MPLS VPN 路 由 及 转发 分 析 

下 面 使 用 实例 对 MPLS VPN 的 路 由 隔离 .网 络 配 置 及 数据 包 转 发 进行 分 析 。 

如 图 8. 23 所 示 , 在 PEl1、PE2 和 PE3 上 分 别 配置 VRF 参数 ,其 中 VPN1 用 户 的 RD= 
6500 : 1,RT= 二 100 : 1,VPN2 用 户 的 RD 二 6500 : 2, RT 二 100 : 2。 所 有 VRF 可 以 同时 导 
人 和 导出 所 定义 的 RT。 
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COTIO8 VPN2 10.1.1.0/8 2 


图 8.23 MPLS VPN 网 络 配置 示例 


以 PE2 为 例 ,PE2 从 接口 So 上 获得 由 CE4 传 来 的 有 关 10. 1. 1. 0/8 的 路 由 ,PE2 把 该 
路 由 放置 到 和 So 有 关 的 VRF 所 管辖 的 IP 路 由 表 中 ,并且 分 配 该 路 由 的 本 地 标签 ,注意 该 
标签 是 本 地 唯一 的 。 通 过 路 由 重新 发 布 机 制 把 VRF 所 管辖 的 IP 路 由 表 中 的 路 由 重新 发 布 
到 BGP 表 中 ,此 时 通过 参考 VRF 表 的 RD、RT 参数 ,把 正常 的 IPv4 路 由 变 成 VPNv4 路 
由 ,如 10.1.1.0/8 变 成 6500 : 1 的 10.1.1.0/8, 同 时 把 导出 (export)RT 值 和 该 路 由 的 本 
地 标签 值 等 属性 全 部 加 到 该 路 由 条 目 中 去 。 通 过 MP-IBGP 会 话 ,PE2 把 这 条 VPNv4 路 由 
发 送 到 PE1 处 ,PE1 收 到 了 两 条 有 关 10. 1. 1. 0/8 的 路 由 ,其 中 一 条 是 由 PE3 发 来 的 。 由 于 
RD 的 不 同 ,导致 该 两 条 路 由 没有 可 比 性 。MP-BGP 接收 到 这 两 条 路 由 后 的 后 继 工作 是 : 去 
掉 VPN4 路 由 所 带 的 RD 值 ,使 之 恢复 IPv4 路 由 原貌 ,并 且 根 据 各 VRF 配置 的 允许 导入 
(Import)RT 值 ,把 IPv4 导入 到 各 个 VRF 管辖 的 路 由 表 和 CEF 表 中 ,也 就 是 说 带 有 RT= 
100 : 1 的 10.1.1.0/8 的 路 由 导入 到 VRF1 所 管 的 路 由 表 和 CEF 表 中 , 带 有 RT 二 100 : 2 
的 10.1.1.0/8 的 路 由 导入 到 VRF2 所 管辖 的 路 由 表 和 CEF 表 中 。 再 通过 CE 和 PE 之 间 
的 路 由 协议 ,PE 把 不 同 的 VRF 管辖 的 路 由 表 内 容 通 告 给 各 自 的 相 联 的 CE 中 去 。 

目前 PE 和 CE 之 间 可 支持 的 路 由 协议 只 有 BGP、OSPF、RIP2 或 者 静态 路 由 4 种 。 

如 图 8. 24 所 示 ,两 层 标记 转发 过 程 描述 如 下 。 

Q@ CE1l 接收 到 发 往 10.1.1.1 的 IP 数据 包 . 查 询 路 由 表 , 把 该 IP 数据 包 发 送 到 PE1 。 

@ PE1 从 Sl 口上 收 到 IP 数据 包 后 ,根据 Sl 所 在 的 VRF, 查 询 对 应 的 CEF 表 , 数 据 包 
打上 标签 8, 注 意 该 标签 就 是 通过 MP-BGP 协议 传 来 的 。PE1l 继续 查询 全 局 CEF 表 , 获 知 
要 把 数据 发 往 10. 1. 1. 1, 必 须 先 发 送 到 PE2。 而 要 发 送 到 PE2, 则 必须 打上 由 P1 告知 的 标 
签 2。 所 以 该 IP 包 被 打上 了 两 个 标签 。 

@ P1 接收 到 标签 包 后 ,分 析 顶 层 的 标签 ,把 顶层 标签 换 成 4, 继 续 发 送 到 P2 。 

@ P2 和 P1 一 样 做 同样 的 操作 ,由 于 为 顶层 标签 ,P2 去 掉 标签 4, 直接 把 只 带 有 一 个 标 
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图 8.24 MPLS VPN 两 层 标记 转发 机 制 


签 的 标签 包 发 送 到 PE2 。 

@ PE2 收 到 标签 包 后 ,分 析 标 签 头 ,由 于 该 标签 8 是 它 本 地 产生 的 ,而 且 是 本 地 唯一 
的 ,所 以 PE2 很 容易 查 出 带 有 标签 8 的 标签 包 应 该 去 掉 标 签 , 恢 复 IP 包 原 貌 , 从 Sl 端口 
发 出 。 

@ CE2 在 获得 IP 数据 包 后 ,进行 路 由 查找 ,把 数据 发 送 到 10. 1. 1.0/8 网 段 上 。 


3. MPLS VPN 实施 案例 

某 公司 总 部 下 有 20 个 分 公司 , 建 有 网 管 . 业 务 综合 服务 系统 BOSS 及 办 公 自 动 化 OA 
等 业务 系统 。 这 些 业务 系统 分 属 不 同 的 部 门 维护 和 管理 ,因此 每 个 系统 都 各 自 建 有 自己 的 
网 络 。 各 业务 系统 所 有 的 业务 服务 器 及 核心 设备 均 集 中 在 省 公司 ,各 分 公司 以 客户 端的 形 
式 访问 省 公司 的 资源 。 

改造 前 ,由 于 不 同 的 业务 使 用 不 同 的 业务 支撑 网 ,因此 存在 多 网 并 存 现象 。 多 网 并 存 所 
带 来 的 问题 是 : 网 络 资源 分 散 , 部 分 网 络 资源 利用 率 低 , 部 分 网 络 不 能 满足 日 益 增长 的 业务 
需求 ; 各 业务 系统 之 间 实 现 了 互联 互通 ,但 无 法 进行 有 效 的 安全 隔离 ,安全 性 较 差 。 

为 了 改变 这 种 状况 ,满足 企业 业务 支撑 网 络 整体 长 期 发 展 的 需要 ,该 公司 采用 MPLS 
VPN 技术 对 现 有 网 络 进 行 了 改造 。 在 全 公司 建立 统一 的 MPLS 骨干 网 络 来 承载 公司 所 有 
内 部 业务 ,不 同 的 业务 系统 通过 划分 VPN 来 实现 互 访 与 隔离 。 在 分 公司 和 省 公司 均 部 署 
相应 的 PE 设备 ,分 公司 的 PE 设备 用 来 连接 分 公司 的 各 业务 系统 网 络 , 省 公司 的 PE 设备 
用 来 连接 各 业务 系统 的 服务 器 。CE 设备 则 由 原来 省 公司 及 分 公司 各 业务 系统 的 汇聚 路 由 
器 来 担任 。 

改造 后 的 网 络 如 图 8. 25 所 示 。 在 省 公司 部 署 两 套 P 设备 和 PE 设备 ,在 每 个 分 公司 分 
别 部 署 两 套 PE 设备 ,整个 骨干 网 络 实现 了 双 平 面 主 、 备 份 。 分 公司 到 省 公司 主 用 链 路 速率 
为 155Mb/s, 备 用 链 路 速率 为 8X2Mb/s。 

在 VPN 规划 方面 ,针对 不 同 的 业务 系统 划分 了 不 同 的 VPN。 全 网 共 划分 了 BOSS 、 网 


网 管 


图 8.25 改造 后 的 网 络 结构 (图 中 未 画 出 CE 设备 ) 


管 ,企业 信息 化 和 经 营 分 析 ( 只 在 省 中 心 )4 类 VPN, 并 通过 在 PE 上 设置 合理 的 RT 对 
VPN 间 的 互 访 与 隔离 实现 了 有 效 控制 。 所 有 相同 的 VPN 间 可 以 互相 访问 ,所 有 VPN 均 
可 访问 省 中 心 企 业 信息 化 服务 器 所 在 的 VPN 及 经 营 分 析 服 务 器 所 在 的 VPN。 

在 整个 网 络 的 控制 层面 ,把 所 有 的 P.PE 设备 都 放 在 一 个 域内 启用 OSPF 协议 ,用 于 标 
签 的 分 发 和 建立 LSP。 所 有 的 PE 设备 也 放 在 一 个 域内 启用 MP-BGP, 用 于 VPN 路 由 的 发 
布 和 处 理 。 由 于 PE 设备 间 不 是 采用 全 连接 结构 ,因此 ,PE 间 需 要 采用 路 由 反射 技术 。 对 
于 所 有 的 业务 而 言 .分 公司 都 是 以 客户 端的 形式 访问 省 公司 的 资源 ,因此 路 由 的 控制 比较 简 
单 ,实现 方法 是 在 PE 设备 和 CE 设备 间 直 接 启 用 静态 路 由 。 

由 于 采用 MPLS VPN 技术 组 网 ,因此 对 于 原来 各 业务 系统 的 IP 地 址 规划 和 各 CE 设 
备 以 下 网 络 不 需要 做 任何 的 改动 。 在 MPLS 骨干 网 络 建设 完成 后 ,只 需 调整 各 系统 的 CE 
设备 就 可 以 实现 各 业务 系统 的 平滑 过 渡 。 

与 原先 的 网 络 相 比 , 采 用 MPLS VPN 技术 改造 后 的 网 络 具 有 以 下 特点 。 

(1) 多 个 业务 系统 的 数据 只 由 一 张 骨干 网 络 承载 ,网 络 结构 更 加 清晰 ,维护 简单 。 

(2) 安全 措施 部 署 简单 ,业务 系统 可 以 进行 更 加 安全 的 隔离 和 可 控 的 互 访 。 

(3) 网 络 扩展 性 好 , 当 增 加 新 业务 系统 时 不 需要 建设 新 的 网 络 , 只 需 增 加 一 个 VPN 即 
可 。 不 需要 针对 某 个 业务 系统 单独 扩容 网 络 带 宽 , 只 有 当 上 骨干 网 络 平台 总 带宽 不 足 时 才 考 
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虑 进行 扩容 。 

(4) 各 业务 系统 统计 复 用 骨干 网 总 带宽 ,也 可 以 根据 各 业务 系统 实际 的 流量 分 配 带宽 ， 
从 而 合理 地 使 用 网 络 资源 ,网 络 资源 利用 率 高 。 

MPLS VPN 主要 用 于 大 型 网 络 的 业务 隔离 ,而 不 适用 于 远程 用 户 加 密 访 问 企业 总 部 信 
息 的 情况 。 它 适用 于 具有 以 下 明显 特征 的 企业 : 高 效 运作 .商务 活动 频繁 .数据 通信 量 大 
对 网 络 依靠 程度 高 有 和 较 多 分 支 机 构 的 大 型 机 构 , 如 ISP、 网 络 公司 、IT 公司 、 金 融 业 、 贸 易 
行业 和 新 闻 机 构 等 。 企 业 网 的 节点 数 较 多 ,通常 将 达到 几 十 个 以 上 。 例 如 城 域 网 这 样 的 网 
络 环境 ,业务 类 型 多 样 、 业 务 流向 流量 不 确定 ,特别 适合 使 用 MPLS VPN。 

MPLS VPN 的 另 一 个 特点 是 能 够 在 提供 VPN 网 络 安全 性 的 同时 ,还 具备 提供 QoS 的 
能 力 ,能 够 实施 灵活 的 控制 策略 和 管理 能 力 。 这 些 优 势 来 自 MPLS 协议 本 身 的 特性 。 


8.1.6 VPN 实施 示例 
如 图 8. 26 所 示 ,在 最 常见 的 VPN 配置 中 ,防火 墙 连接 到 Internet,VPN 服务 器 (可 以 


选择 使 用 PPTP/L2TP/IPSec 等 协议 作为 VPN 隧道 协议 ) 作 为 企业 内 联网 (Intranet) 资 源 
同 周边 网 络 连 接 。 


部 Web 服 务 器 


MN Intranet 


防火 墙 VPN 服 务 器 


L 


周边 网 络 


图 8.26 VPN 实施 的 网 络 拓扑 


VPN 服务 器 在 周边 网 络 和 企业 内 联网 上 各 有 一 个 接口 。 在 此 配置 中 ,必须 在 所 属 的 
Internet 和 周边 网 络 接口 上 通过 输入 和 输出 筛选 器 配置 防火 墙 ,从 而 允许 PPTP 隧道 维持 
流量 和 通过 PPTP 隧道 的 数据 传输 到 VPN 服务 器 上 。 
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上 述 VPN 服务 器 可 以 使 用 微软 公司 远程 访问 服务 器 RAS(remote access server) 实 
施 ,这 时 RAS 即 是 一 个 双 穴 主机 ,可 负责 路 由 转发 及 VPN 服务 。 同 时 ,RAS 服务 器 也 可 以 
配置 为 PPP 拨号 服务 器 ,为 内 部 拨号 用 户 提供 互联 网 访问 服务 。RAS 服务 器 支持 PPTP/ 
IPSec/L2TP 等 多 种 隧道 协议 实施 VPN。 

上 述 网 络 中 的 VPN 服务 器 也 可 采用 Linux/UNIX 主机 实现 ,只 需要 在 主机 上 启动 路 
由 转发 功能 ,并 安装 PPP 和 PPT 软件 包 且 进行 适当 配置 即 可 。 

图 8. 27 描述 了 使 用 Modem 进行 远程 访问 的 VPN 连接 中 ,VPN 客户 机 端 数据 包 在 
Windows RAS 网 络 体系 结构 中 的 封装 流程 。 


图 8.27 RAS 中 PPTP 数据 包 的 封装 流程 


Q@ IP 数据 包 、IPX 数据 包 或 NetBEUI 帧 由 各 自 协议 提交 给 对 应 于 VPN 连接 的 虚拟 接 
口 。 该 接口 符合 网 络 驱 动 程序 接口 规范 NDIS。 

@ NDIS 将 数据 包 提交 给 NDISWAN, 由 NDISWAN 负责 对 数据 进行 加 密 、 压 缩 处 理 
后 ,添加 PPP 报头 进行 第 一 步 封装 。 该 PPP 报头 仅 含 一 个 PPP 协议 标识 域 ,不 附加 任何 帧 
校正 序列 FCS 或 其 他 标记 。 

@ NDISWAN 将 PPP 帧 提交 给 PPTP 协议 驱动 程序 ,该 驱动 程序 负责 在 PPP 帧 外 添 
加 GRE 报头 进行 第 二 步 封装 。 该 GRE 报头 中 ,Call ID 域 的 值 唯一 地 标识 了 一 条 隧道 。 

由 TCP/IP 协议 驱动 程序 再 对 GRE 报 文 添加 IP 报头 进行 第 三 步 封装 ,封装 后 再 提交 
给 拨 往 本 地 ISP 的 拨号 连接 接口 ,该 接口 符合 网 络 驱动 程序 接口 规范 NDIS。 

@ NDIS 再 次 将 数据 包 提 交 给 NDISWAN,NDISWAN 给 数据 包 添 加 PPP 报头 、 报 尾 
进行 最 后 的 数据 链 路 层 封装 。 

@ NDISWAN 将 最 终 形 成 的 PPP 帧 提交 给 与 拨号 硬件 相对 应 的 WAN 微 端口 驱动 程 
序 ( 例 如 Modem 连接 中 的 异步 端口 )。 
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8.2 访问 控制 与 安全 审计 


访问 控制 (access control) 保 证 只 有 授权 的 用 户 能 够 在 规定 的 权限 内 对 访问 对 象 进行 操 
作 。 访 问 控制 的 实质 是 对 资源 使 用 的 限制 : 它 用 于 限定 主体 在 网 络 内 对 客体 所 允许 执行 的 
动作 , 即 用 户 在 通过 鉴别 后 ,还 要 通过 访问 控制 ,才能 执行 特定 的 操作 。 

访问 控制 技术 起 源 于 20 世纪 70 年 代 , 是 为 了 满足 当时 管理 大 型 主机 系统 上 共享 数据 
授权 访问 的 需要 而 使 用 的 。 随 着 计算 机 技术 和 应 用 的 发 展 , 特 别 是 网 络 技术 的 发 展 和 应 用 ， 
这 一 技术 的 思想 和 方法 迅速 应 用 于 信息 系统 的 各 个 领域 。 在 30 多 年 的 发 展 过 程 中 ,先后 出 
现 了 多 种 重要 的 访问 控制 技术 ,它们 的 基本 目标 都 是 防止 非法 用 户 进 入 系统 和 合法 用 户 对 
系统 资源 的 非法 使 用 。 为 了 达到 这 个 目标 ,访问 控制 通常 以 用 户 身 份 认证 为 前 提 , 在 此 基础 
上 实施 各 种 访问 控制 策略 来 控制 和 规范 用 户 在 系统 中 的 行为 。 

用 户 .设备 或 进程 对 系统 的 操作 ,包括 访问 控制 等 信息 需要 进行 记录 和 审计 。 安 全 审计 
系统 是 事前 控制 主体 对 客体 的 访问 行为 ,并 能 事后 获得 直接 电子 证 据 , 防 止 行为 抵赖 的 系 
统 。 它 是 信息 安全 保障 系统 的 重要 组 成 部 分 。 在 信息 安全 领域 ,从 来 就 没有 一 种 技术 可 以 
绝对 地 保证 系统 的 安全 。 即 使 技术 在 理论 上 可 以 很 安全 ,也 不 可 能 保证 执行 人 员 可 以 完整 
无 误 地 执行 。 因 此 ,无 论 技 术 有 多 先进 .审计 功能 依然 非常 重要 。 


8.2.1 访问 控制 策略 


访问 控制 策略 是 指 实施 访问 控制 所 采用 的 基本 思路 和 方法 。 目 前 ,常见 的 访问 控制 策 
略 包括 自主 访问 控制 (discretionary access policies)、 强制 访 问 控制 (mandatory access 
policies) 和 基于 角色 的 访问 控制 (role-based access policies) 三 种 。 
在 描述 访问 控制 策略 之 前 ,给 出 访问 控制 系统 的 基本 概念 。 
。 主体 : 访问 动作 的 发 起 者 . 即 对 客体 实施 动作 的 实体 ,例如 用 户 、 用 户 进程 等 。 
。 客体 : 即 被 访问 对 象 .计算 机 系统 中 所 有 可 控制 的 资源 均 可 抽象 为 客体 ,如 文件 . 设 
备 和 内 存 区 数据 等 。 
。 授权 : 主体 对 客体 所 实施 的 动作 需要 得 到 授权 ,这 些 授权 对 于 主体 可 表示 为 访问 权 
限 ,对 于 客体 为 访问 模式 。 


1. 自主 访问 控制 


自主 访问 控制 随 分 时 系统 的 出 现 而 产生 。 其 基本 思想 是 : 系统 中 的 主体 可 以 自主 地 将 
其 拥有 的 对 客体 的 访问 权限 全 部 或 部 分 授予 其 他 主体 。 其 实现 方法 一 般 是 建立 系统 访问 控 
制 矩 阵 。 其 中 ,矩阵 的 行 对 应 系统 的 主体 , 列 对 应 系统 的 客体 元素 表示 主体 对 客体 的 访问 
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权限 。 为 了 提高 系统 的 性 能 ,在 实际 应 用 中 常常 是 建立 基于 行 (主体 ) 或 列 (客体 ) 的 访问 控 
制 方法 。 

基于 行 的 方法 是 在 每 个 主体 上 都 附加 一 个 该 主体 可 以 访问 的 客体 的 明细 表 。 根 据 表 中 
信息 的 不 同 可 分 为 三 种 形式 ; 权能 表 (capabilities list)、 前 级 表 (porfiles) 和 密码 
(password ) 。 

权能 表 ( 如 图 8. 28 所 示 ) 决 定 用 户 是 否 可 以 对 客体 进行 访问 及 进行 何 种 形式 的 访问 (如 
读 、 写 .删改 和 执行 等 )。 一 个 拥有 某 种 权力 的 主体 可 以 按 一 定 方 式 访问 客体 ,并 且 在 进程 运 
行 期 间 访问 权限 可 以 添加 或 删除 。 


userA 


filel file2 file3 
own 
r 
. r 
w Ww 
o | 


图 8.28 权能 关系 表 


前 级 表 包 括 受 保护 的 客体 名 及 主体 对 它 的 访问 权限 。 当 主体 欲 访 问 某 客体 时 ,自主 访 
问 控 制 系 统 将 检查 主体 的 前 级 是 否 具有 它 所 请 求 的 访问 权 。 至 于 密码 机 制 ,每 个 客体 (或 客 
体 的 每 种 访问 模式 ) 都 需要 一 个 密码 ,主体 访问 客体 时 首先 提供 该 客体 的 密码 。 

DAC 根据 用 户 的 身份 及 允许 访问 权限 决定 其 访问 操作 。 即 只 要 用 户 身 份 被 确认 后 , 才 
可 根据 访问 控制 表 上 赋予 该 用 户 的 权限 进行 限制 性 用 户 访问 ,这 种 访问 的 灵活 性 高 ,被 大 量 
地 采用 (如 UNIX 系统 中 ) 。 然 而 也 正 是 由 于 这 种 灵活 性 使 信息 系统 的 安全 性 降低 。 

DAC 的 缺点 是 访问 权 的 授予 是 可 以 传递 的 。 一 旦 访问 权 被 传递 出 去 将 难以 控制 ,访问 
权 的 管理 是 相当 困难 的 ,可 能 带 来 严重 的 安全 问题 。 另 一 方面 ,DAC 不 保护 受 保护 的 客体 
产生 的 副本 , 即 一 个 用 户 不 能 访问 某 一 客体 .但 能 够 访问 该 客体 的 备份 ,这 更 增加 了 管理 的 
难度 。 并 且 , 在 大 型 系统 中 , 主 、 客 体 的 数量 巨大 ,无 论 是 用 哪 一 种 形式 的 DAC, 所 带 来 的 系 
统 的 开销 都 是 很 大 的 ,效率 较 低 , 难 以 满足 大 型 应 用 系统 的 需求 。 


2. 强制 访问 控制 

MAC 通过 无 法 回避 的 访问 限制 来 阻止 直接 或 间接 的 非法 入 侵 。 系 统 中 的 主 、 客 体 都 
被 分 配 一 个 固定 的 安全 属性 ,利用 安全 属性 决定 一 个 主体 是 否 可 以 访问 某 个 客体 。 安 全 属 
性 是 强制 性 地 由 安全 管理 员 分 配 的 ,用 户 或 用 户 进程 不 能 改变 自身 或 其 他 主 、 客 体 的 安全 
属性 。 

MAC 的 本 质 是 基于 格 的 非 循环 单 向 信息 流 策 略 , 系 统 中 每 个 主体 都 被 授予 一 个 安全 
证 书 , 而 每 个 客体 被 指定 为 一 定 的 敏感 级 。 访 问 控制 的 两 个 关键 规则 是 : 不 向 上 读 和 不 向 
下 写 , 即 信息 流 只 能 从 低 安全 级 向 高 安全 级 流动 。 任 何 违反 非 循 环 信 息 流 的 行为 都 是 被 禁 
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止 的 。 

MAC 中 每 个 用 户 及 文件 都 被 赋予 一 个 访问 级 别 , 它 是 由 一 个 授权 机 构 为 主体 和 客体 
分 别 定 义 固定 的 访问 属性 ,上 且 这 些 访 问 权 限 不 能 通过 用 户 来 修改 。 通 过 定义 用 户 的 不 同 权 
限 ,使 用 户 可 以 访问 对 应 不 同安 全 级 别 的 数据 ,从 而 避免 了 自主 访问 控制 方法 中 出 现 的 访问 
传递 问题 。 这 种 方法 具有 层次 性 的 特点 ,高 安全 级 别 的 权限 可 访问 低级 别 的 数据 。 

MAC 起 初 主要 用 于 军 方 应 用 ,并 且 常 与 DAC 结合 使 用 ,主体 只 有 通过 DAC 和 MAC 
的 检查 后 ,才能 访问 客体 。 由 于 MAC 对 客体 施加 了 更 严格 的 访问 控制 ,因而 可 以 防止 特 洛 
伊 木 马 之 类 的 程序 偷窃 受 保护 的 信息 ,同时 MAC 对 于 用 户 意外 泄露 机 密 信息 的 可 能 性 也 
有 一 定 的 预防 能 力 。 但 是 如 果 用 户 恶 意 泄露 信息 , 则 可 能 无 能 为 力 。 而 且 , 由 于 MAC 增加 
了 不 能 回避 的 访问 限制 ,因而 可 能 影响 系统 的 灵活 性 。 另 一 方面 ,虽然 MAC 增强 了 信息 的 
机 密 性 ,但 不 能 实施 完整 性 控制 ,而 一 些 完整 性 控制 策略 却 可 以 实现 机 密 性 的 功能 。 再 者 ， 
网 上 信息 更 需要 完整 性 ,这 影响 了 MAC 的 网 上 应 用 。 最 后 ,在 MAC 系统 实现 单 向 信息 流 
的 前 提 是 系统 中 不 存在 逆向 潜 信 道 。 逆 向 潜 信 道 的 存在 会 导致 信息 违反 规则 的 流动 ,而 现 
代 计 算 机 系统 中 这 种 潜 信 道 是 难以 去 除 的 ,如 大 量 的 共享 存储 器 及 为 提升 硬件 性 能 而 采用 
的 各 种 Cache 等 ,这 给 系统 增加 了 安全 性 漏洞 。 


3. 基于 角色 的 访问 控制 


基于 角色 的 访问 控制 以 角色 为 中 介 对 用 户 进行 授权 和 访问 控制 : 主体 对 客体 的 访问 控 
制 权限 通过 角色 实施 , 即 访问 权限 是 针对 角色 而 不 是 直接 针对 用 户 的 。RBAC 中 ,系统 安全 
管理 员 根 据 需 要 定义 各 种 角色 ,并 为 其 设置 合适 的 访问 权限 ,然后 根据 用 户 所 担任 的 工作 职 
责 或 级 别 给 其 分 配 相 应 的 角色 ,从 而 使 用 户 获 得 相关 的 权限 集 。RBAC 利用 角色 作为 桥梁 
将 用 户 与 权限 联系 起 来 ,而 不 像 传统 访问 控制 技术 中 那样 将 访问 权限 直接 分 配给 用 户 。 根 
据 应 用 可 以 给 用 户 分 配 一 些 角 色 ,再 给 角色 分 配 相应 的 权限 ; 还 可 以 根据 应 用 需要 将 分 配 
给 用 户 的 某 些 角色 撤销 ,也 可 以 将 分 配给 角色 的 某 些 权限 撤销 。 

角色 是 根据 用 户 在 系统 中 表现 的 活动 性 质 而 确定 的 , 即 这 种 活动 性 质 表 明 用 户 担当 
了 一 定 的 角色 。 角 色 可 以 看 成 是 一 个 表达 访问 控制 策略 的 语义 结构 , 它 可 以 表示 用 户 承 
担 特定 工作 的 资格 ,也 可 以 体现 某 种 权利 与 责任 。 例 如 一 个 银行 系统 中 的 角色 可 以 有 出 
纳 员 会计师 ,贷款 员 和 部 门 经 理 等 ,他 们 的 职能 不 同 ,拥有 对 系统 的 访问 权限 也 不 相同 。 
RBAC 根据 用 户 在 组 织 内 所 处 的 角色 做 出 访问 授权 与 控制 ,但 用 户 不 能 自主 地 将 访问 权 
限 传递 给 他 人 。 例 如 ,在 医院 里 ,医生 这 个 角色 可 以 开 处 方 , 但 他 无 权 将 开 处 方 的 权力 传 
递 给 护士 。 

如 图 8. 29 所 示 , 引 入 角色 的 管理 模式 后 ,对 资源 授权 管理 过 程 将 分 成 两 个 部 分 , 即 首先 


实现 访问 权限 与 角色 相关 联 . 然 后 再 实现 角色 与 用 户 
角色 权限 
相关 联 , 从 而 实现 了 用 户 与 访问 权限 的 逻辑 分 离 。 用 Cn 


户 访问 系统 时 ,系统 首先 检查 用 户 的 角色 ,然后 根据 角 图 8. 29 RBAC 访问 控制 策略 
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色 拥 有 的 权限 决定 其 对 客体 的 访问 能 力 。 

在 RBAC 中 ,由 系统 的 安全 策略 决定 如 何 进行 权限 一 角色 指派 及 角色 一 用 户 指派 等 。 
一 个 用 户 可 以 担当 多 个 角色 ,一 个 角色 也 可 以 分 配给 多 个 用 户 。 

RBAC 作为 DAC 和 MAC 的 蔡 代 策略 在 近年 来 逐渐 引起 广泛 的 关注 。 基 于 角色 访问 
控制 模型 的 基本 思想 是 让 权限 与 角色 相映 射 。 

RBAC 的 优势 在 于 它 对 管理 能 力 的 支持 。 一 个 RBAC 系统 建立 后 ,主要 的 管理 工作 即 
为 分 配 和 取消 用 户 的 角色 。 用 户 的 职责 变化 时 ,赋予 不 同 的 角色 ,也 就 改变 了 用 户 的 权限 。 
当 组 织 的 功能 变化 或 演进 时 ,只 需 删除 角色 的 旧 功能 、 增 加 新 功能 ,或 定义 新 角色 ,而 不 必 更 
新 每 一 个 用 户 的 权限 设置 。 从 这 个 意义 上 讲 , 基 于 角色 的 访问 控制 克服 了 传统 DAC 和 
MAC 的 不 足 , 可 以 减少 授权 管理 的 复杂 性 、 降 低 管理 开销 ,并 为 管理 员 提 供 一 个 较 好 的 实 
现 安全 策略 的 环境 。 因 此 ,RBAC 在 目前 大 型 商业 和 政府 部 门 的 安全 应 用 中 开始 显示 出 较 
大 的 优势 ,基于 角色 的 访问 控制 已 经 成 为 传统 访问 控制 策略 的 发 展 和 补充 。 

RBAC 的 适用 范围 非常 广泛 。 例 如 ,Windows NT 采用 了 类 似 于 RBAC 的 访问 控制 机 
制 。 从 政府 机 构 到 商业 应 用 ,RBAC 可 以 满足 许多 应 用 系统 的 安全 需求 。 另 外 ,RBAC 也 非 
常 适用 于 数据 库 应 用 层 的 安全 模型 ,因为 在 应 用 层 , 角 色 的 多 辑 意义 更 为 明显 和 直接 。 现 有 
的 商品 化 RDBMS 系统 中 ,ORACLE8.0 以 上 和 SYBASE7.0 以 上 都 部 分 实现 了 基于 角色 
的 访问 控制 。 同 时 ,RBAC 适合 对 集中 的 资源 进行 访问 控制 ,常见 于 信息 集中 型 应 用 系统 。 
它 适合 于 “集中 控制 .集中 管理 ”类 型 的 应 用 ,如 电子 政务 系统 等 。 

1995 年 ,Ravi Sandhu 等 人 提出 RBAC 的 基本 模型 , 称 为 RBACO 模型 。 该 模型 定义 了 
任何 支持 RBAC 的 技术 都 必须 包含 的 最 小 功能 子 集 。1996 年 在 RBACO0 模型 的 基础 上 加 
入 了 角色 等 级 管理 ,提出 了 RBACI 模型 。 在 RBACO 模型 中 加 入 了 对 RBAC 各 种 元 素 的 
约束 ,提出 了 RBAC2 模型 。RBAC1 和 RBAC2 模型 都 称 为 高 级 RBAC 模型 ,但 它们 是 不 
兼容 的 。 为 了 将 这 两 类 模型 合并 在 一 起 ,对 RBAC0O 模型 进行 了 改进 ,形成 RBAC3 模型 。 
RBACO、RBAC1、RBAC2 和 RBAC3 统称 为 RBAC96 模型 家 族 , 如 图 8. 30 所 示 。 


RBAC3( 改 进 模型 ) 


RBACI1(+ 角 色 等 级 ) RBAC2(+ 限 制 ) 


RBAC0( 基 本 模型 ) 


图 8.30 ”RBAC96 模型 
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RBAC96 模型 家 族 中 的 所 有 模型 都 有 一 个 共同 的 特点 ,它们 都 假定 由 一 个 安全 管理 
员 来 控制 所 有 的 访问 控制 模型 组 件 。 在 大 型 应 用 系统 中 ,角色 、 用 户 和 权限 数量 巨大 ,对 
于 这 些 组 件 的 管理 将 会 非常 复杂 ,仅仅 依靠 人 力 来 控制 不 仅 工作 量 大 ,而 且 很 容易 造成 
安全 隐患 。1997 年 ,Sandhu 及 其 他 访问 控制 专家 们 扩展 RBAC96 模型 家 族 , 提 出 了 利用 


control) 。 

RBAC 实质 上 是 一 种 策略 中 立 的 访问 控制 策略 , 即 它 本 身 并 不 提供 一 种 特定 的 安全 
策略 。RBAC 通过 配置 各 种 参数 (例如 文档 的 安全 标志 和 用 户 的 角色 ) 来 实现 某 种 安全 策 
略 。 从 根本 上 讲 ,RBAC 仍然 属于 基于 主体 、 客 体 的 访问 控制 体系 的 范畴 。 在 基于 主客 体 
访问 控制 的 模型 中 ,基本 实体 是 主体 、 客 体 和 权限 ,主体 通过 权限 获得 对 不 同 客 体 的 访问 
能 力 。 

无 论 哪 种 访问 控制 策略 ,访问 控制 和 授权 信息 均 可 以 使 用 如 下 方法 实现 。 

(1) 基于 列 的 访问 控制 

基于 列 的 自主 访问 控制 对 每 个 客体 附加 一 个 它 可 以 访问 主体 的 明细 表 。 其 实现 有 两 
种 形式 : 保护 位 (protection bits) 和 访问 控制 列表 (access control list,ACL) 。 保 护 位 是 对 
所 有 的 主体 指明 一 个 访问 模式 集合 ,由 于 它 不 能 完备 地 表达 访问 控制 矩阵 ,因而 很 少 
使 用 。 

如 图 8. 31 所 示 ,访问 控制 列表 可 以 决定 任 一 主体 是 否 能 够 访问 该 客体 , 它 是 用 在 该 客 
体 上 附加 一 主体 明细 表 的 方法 来 表示 访问 控制 矩阵 的 。 表 中 的 每 一 项 包括 主体 的 身份 和 对 
客体 的 访问 权 ,访问 控制 列表 是 实现 自主 访问 控制 的 常用 方法 。 


filel 
| user A userB userC 
own 
从 
r 
Ww Ww 
| 到 | 


图 8.31 访问 控制 表 


(2) 权能 表 (capabilities lists) 

如 图 8. 28 所 示 ,权能 表 以 主体 为 索引 ,为 每 个 主体 建立 一 个 CL(capabilities list) ,指出 
对 各 个 客体 的 访问 权限 。 

(3) 权限 关系 表 (authorization relation) 

如 表 8. 2 所 示 ,权限 关系 表 是 ACL 和 CL 的 结合 ,使 用 关系 来 表示 访问 控制 矩阵 。 每 
个 关系 表示 一 个 主体 对 一 个 客体 的 访问 权限 ,可 以 使 用 关系 式 数 据 库 来 存放 这 个 访问 和 矩阵。 
这 种 方式 对 于 主体 和 客体 的 授权 处 理 都 比较 方便 ,但 实现 的 开销 较 大 。 
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表 8.2 权限 关系 表 


user A own filel 
user A r file2 
user A w file3 
userB r file4 
user B own file5 


8.2.2 访问 控制 实施 模型 


访问 控制 策略 决定 系统 以 什么 样 的 方法 进行 用 户 的 权限 划分 及 授权 管理 ,而 没有 解决 
如 何 实 施 访问 控制 的 问题 。 本 节 讲 述 访问 控制 实施 的 方法 。 一 个 访问 控制 实施 模型 包括 访 
问 控制 要 素 ,访问 控制 策略 等 。 控 制 要 素 包 括 主体 、 客 体 和 授权 。 典 型 的 访问 控制 模型 如 
图 8. 32 所 示 。 访 问 控 制 可 以 通过 系统 中 的 引用 监控 器 (reference monitor) 来 实施 。 


安全 管理 员 


授权 数据 库 


2 


引用 监控 器 


目标 


访问 控制 


审计 


图 8.32 访问 控制 实施 模型 


系统 中 ,用 户 或 进程 (主体 ) 通 过 系统 鉴别 后 ,在 访问 目标 资源 (客体 ) 之 前 ,其 访问 请 求 
首先 被 访问 控制 的 引用 监控 器 拦截 ,监控 器 检查 访问 控制 策略 (可 以 是 DAC、MAC 或 
RBAC 中 的 一 种 ) ,并 根据 不 同 的 策略 实现 方式 查找 授权 数据 库 中 的 访问 控制 规则 ,决定 该 
访问 是 否 被 允许 。 

访问 控制 规则 和 授权 数据 库 由 安全 管理 员 创 建 和 维护 ,并 且 , 用 户 对 资源 的 访问 过 程 及 
其 结果 可 以 被 安全 审计 系统 记录 。 

在 企业 应 用 系统 或 操作 系统 设计 时 普遍 采用 上 述 模型 , 即 采用 监控 器 拦截 用 户 进程 对 
系统 的 访问 ,然后 根据 访问 控制 策略 和 授权 信息 决定 是 否 允 许 相 应 的 操作 。 可 以 看 出 ,引用 
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监控 器 是 整个 访问 控制 模型 的 核心 。 

在 操作 系统 中 ,用 户 、 可 能 含有 敏感 数据 的 对 象 及 控制 资源 访问 的 部 件 等 共同 构成 系统 
环境 。 操 作 系统 并 不 是 对 用 户 所 有 的 访问 资源 (例如 文件 和 内 存 区 域 的 请 求 ) 都 进行 检查 。 
攻击 者 可 能 寻找 出 一 些 不 需要 进行 检查 的 访问 形式 ,并 能 够 用 它 来 从 用 户 的 文件 中 窃取 客 
户 信息 。 黑 客 也 可 能 会 在 系统 中 留 下 一 个 程序 ,该 程序 会 随机 地 覆盖 内 存 区 域 ,从 而 对 其 他 
用 户 造成 严重 的 破坏 。 为 了 解决 这 些 安 全 问题 ,可 以 使 用 上 述 访 问 控制 实施 模型 当 对 象 
被 创建 时 即 定义 好 其 他 进程 对 该 对 象 的 访问 权限 ,并 且 , 当 一 个 进程 试图 访问 该 对 象 时 就 执 
行 这 些 授 权 规 则 或 策略 。 

下 面 给 出 基于 上 述 模 型 的 访问 控制 系统 的 设计 示例 。 图 8. 33 为 访问 控制 系统 的 类 图 。 
系统 使 用 引用 监控 器 拦截 进程 的 访问 请 求 。REFERENCE MONITOR 根据 访问 规则 检查 
进程 是 否 具 有 对 所 请 求 类 型 的 访问 权限 。 访 问 请 求 是 进程 和 引用 监控 器 之 间 的 关联 类 。 访 
问 类 型 为 进程 和 被 访问 对 象 之 间 的 关联 类 。REFERENCE MONITOR 对 应 多 条 访问 控制 
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图 8.33 访问 控制 实施 模型 类 图 


图 8. 34 描述 了 上 述 以 引用 监控 器 为 中 心 的 访问 控制 实施 模型 中 安全 主体 访问 安全 客 
体 的 动态 过 程 。 请 求 被 发 送 给 REFERENCE MONITOR 来 检查 访问 规则 。 如 果 允 许 访 
问 , 则 执行 该 访问 并 且 返 回 结果 。 返 回 给 主体 的 是 一 个 句柄 或 令 牌 (token) ,这 样 主体 以 后 
对 该 安全 对 象 的 访问 就 可 以 直接 进行 而 不 需要 进行 额外 的 检查 了 。 

REFERENCE MONITOR 仲裁 所 有 的 访问 请 求 。 现 在 所 有 的 请 求 都 要 经 过 检查 , 因 
此 黑客 不 能 访问 未 被 授权 的 文件 或 内 存 区 域 。 

Windows NT 的 安全 子 系统 就 是 采用 上 述 访问 控制 模型 提供 安全 保障 的 。 它 包含 以 下 
3 个 组 件 。 

。 本 地 安全 授权 (local security authority,.LSA) 

。 安全 审计 管理 (security audit management,SAM) 

。 安全 引用 监控 器 (security reference monitor,SRM) 
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,过 各 用 - 芒 辣 : 玖 旬 
< 行为 者 > 监控 器 规则 
访问 请 求 
(于 象 ， 访 问 类 型) 
检查 
EE, 对象 .访问 关 区 
成 功 
仿 辣 类) | 


图 8. 34 验证 访问 请 求 过 程 的 时 序 图 


本 地 安全 授权 和 安全 审计 管理 两 个 组 件 协同 来 验证 用 户 , 并 且 为 用 户 创建 访问 令 牌 。 
安全 引用 监控 器 运行 在 内 核 模式 下 ,负责 实施 访问 验证 。 当 主体 请 求 访问 一 个 对 象 时 ,系统 
会 把 相应 文件 的 安全 描述 符 和 保存 在 用 户 访问 令 牌 中 的 安全 ID 进行 对 比 。 安 全 描述 符 由 
访问 控制 条 目 (access control entry, ACE) 组 成 ,这 些 访问 控制 条 目 包含 在 访问 控制 列表 中 。 
如 果 对 象 拥有 一 个 ACL ,安全 审计 管理 会 检查 ACL 中 的 每 个 ACE 来 决定 是 否 允许 访问 。 
一 旦 SRM 准许 了 对 该 对 象 的 访问 ,以 后 就 不 需要 再 进行 访问 检查 了 ,对象 的 句柄 使 得 以 后 
的 访问 可 以 直接 进行 。 

对 象 的 访问 类 型 包括 拒绝 访问 、 读 ,修改 、 完 全 控制 和 特殊 访问 。 目 录 的 访问 权限 还 包 
括 列 表 、 添 加 和 读 取 。 

Windows 使 用 句柄 这 个 概念 来 访问 系统 中 受 保护 的 对 象 。 每 个 对 象 拥有 一 个 安全 描 
述 符 (security descriptors,SD) ,SD 中 包含 了 对 象 的 自主 访问 控制 列表 (discretionary access 
control list,DACL)。 同 时 ,每 个 进程 拥有 一 个 安全 令 牌 ,该 令 牌 包含 了 一 个 用 作 识 别 进程 
的 SID。 内 核 使 用 该 SID 来 决定 是 否 允 许 访问 。ACL 中 包含 的 ACE 说 明了 允许 某 个 进程 
SID 对 该 对 象 进 行 哪些 访问 。 内 核 遍 历 ACL 来 查找 与 请 求 的 访问 相对 应 的 权限 。 

进程 请 求 访 问 对 象 通 常 是 采用 请 求 对 象 的 句柄 方式 ,如 CreateFile 调用 ,CreateFile 调 
用 既 可 以 用 来 打开 文件 也 可 以 创建 一 个 新 文件 。 当 创建 文件 时 ,参数 中 包含 一 个 指向 SD 
的 指针 。 当 打开 文件 时 ,需要 的 参数 包括 文件 句柄 ,以 及 所 需 的 访问 类 型 ,如 GENERIC_ 
READ。 如 果 进 程 拥有 相应 访问 类 型 所 需 的 权限 , 则 请 求 成 功 并 且 获 得 一 个 访问 句柄 。 因 
此 同一 对 象 的 不 同 句柄 可 能 拥有 不 同类 型 的 访问 权限 。 一 旦 获得 句柄 ,进程 以 后 读 文件 时 
就 不 再 需要 更 多 的 授权 了 。 可 以 把 句柄 传递 给 其 他 可 信 的 函数 供 后 者 使 用 。 

Java 安全 子 系统 也 采用 本 节 讨 论 的 访问 控制 实施 模型 提供 安全 性 。Java 的 访问 控制 
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器 基于 权限 和 策略 构建 访问 权限 。 它 使 用 一 个 checkPermission 方法 来 决定 每 个 调用 方法 
的 代码 源 对 象 ,并 使 用 当前 的 Policy 对 象 确定 与 该 方法 绑 定 的 权限 对 象 。checkPermission 
方法 会 遍历 整个 调用 栈 来 决定 栈 中 所 有 调用 方法 的 访问 。java. policy 文件 中 包含 了 每 个 代 
码 源 的 授权 声明 ,该 文件 供 安全 管理 器 使 用 。 

采用 上 述 访问 控制 模型 实施 访问 控制 ,可 以 截取 每 个 访问 请 求 ,并 且 根 据 授 权 规则 来 允 
许 或 拒绝 该 访问 。 访 问 规则 可 以 实现 一 个 访问 矩阵 ,该 矩阵 定义 了 每 个 主体 拥有 的 不 同 访 
问 类 型 ,可 以 按 需 要 添加 内 容 相关 的 规则 。 上 述 模 型 适用 于 实施 各 种 访问 控制 策略 ,如 
DAC、MAC 和 RBAC 等 。 

该 模型 的 缺点 是 需要 保护 授权 规则 。 同 时 ,控制 每 个 访问 会 带 来 一 定 的 开销 。 对 于 那 
些 内 容 相 关 的 规则 尤其 严重 ,可 以 通过 编译 来 提高 效率 。 


8.2.3 访问 控制 实施 策略 


访问 控制 的 实施 策略 包括 人 网 访问 控制 策略 .操作 权限 控制 策略 .目录 安全 控制 策略 、 
属性 安全 控制 策略 、 网 络 服务 器 安全 控制 策略 、 网 络 监测 和 锁定 控制 策略 及 防火 墙 控制 策 
略 等 。 


1. 入 网 访问 控制 策略 


和 人 网 访问 控制 是 网 络 访问 的 第 1 层 安全 机 制 。 它 控制 哪些 用 户 能 够 登录 到 服务 器 并 获 
准 使 用 网 络 资 源 , 控 制 准许 用 户 入 网 的 时 间 和 位 置 。 用 户 的 入 网 访问 控制 通常 分 为 三 步 执 
行 : 用 户 名 的 识别 与 验证 ; 用 户 密码 的 识别 与 验证 ; 用 户 账户 的 默认 权限 检查 。 三 道 控 制 
关卡 中 只 要 任何 一 关 未 过 ,该 用 户 便 不 能 进入 网 络 。 

对 网 络 用 户 的 用 户 名 和 密码 进行 验证 是 防止 非法 访问 的 第 一 道 关 卡 。 用 户 登 录 时 首先 
输入 用 户 名 和 密码 ,服务 器 将 验证 所 输入 的 用 户 名 是 否 合法 。 用 户 的 密码 是 用 户 人 网 的 关 
键 所 在 。 密 码 最 好 是 数字 .字母 和 其 他 字符 的 组 合 ,长 度 应 不 少 于 6 个 字符 ,必须 经 过 加 密 。 
密码 加 密 的 方法 很 多 ,最 常见 的 方法 有 基于 单 向 函数 的 密码 加 密 、 基 于 测试 模式 的 密码 加 
密 、 基 于 公 钥 加 密 方案 的 密码 加 密 、 基 于 平方 剩余 的 密码 加 密 、 基 于 多 项 式 共 享 的 密码 加 密 
和 基于 数字 签名 方案 的 密码 加 密 等 。 经 过 各 种 方法 加 密 的 密码 ,即使 是 网 络 管理 员 也 不 能 
够 得 到 。 系 统 还 可 采用 一 次 性 用 户 密码 ,或 使 用 如 智能 卡 等 便携 式 验证 设施 来 验证 用 户 的 
身份 。 

网 络 管理 员 应 该 可 对 用 户 账 户 的 使 用 ,用户 访 问 网 络 的 时 间 和 方式 进行 控制 和 限制 。 
用 户 名 或 用 户 账户 是 所 有 计算 机 系统 中 最 基本 的 安全 形式 。 用 户 账户 应 只 有 网 络 管理 员 才 
能 建立 。 用 户 密码 是 用 户 访问 网 络 所 必须 提交 的 准 入 证 。 用 户 应 该 可 以 修改 自己 的 密码 ， 
网 络 管理 员 对 密码 的 控制 功能 包括 限制 密码 的 最 小 长 度 .强制 用 户 修改 密码 的 时 间 间 隔 、 密 
码 的 唯一 性 、 密 码 过 期 失效 后 允许 人 网 的 宽 限 次 数 。 针 对 用 户 登 录 时 多 次 输入 密码 不 正确 
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的 情况 ,系统 应 按照 非法 用 户 入 侵 对 待 并 给 出 警告 信息 ,同时 应 该 能 够 对 允许 用 户 输入 密码 
的 次 数 给 予 限制 。 

用 户 名 和 密码 通过 验证 之 后 ,系统 需要 进一步 对 用 户 账户 的 默认 权限 进行 检查 。 网 络 
应 能 控制 用 户 登 录入 网 的 位 置 、 限 制 用 户 登 录入 网 的 时 间 及 限制 用 户 入 网 的 主机 数量 。 当 
交 费 网 络 的 用 户 登 录 时 ,如 果 系 统 发 现 * 资 费 " 用 尽 , 还 应 能 对 用 户 的 操作 进行 限制 。 


2. 操作 权限 控制 策略 


操作 权限 控制 是 针对 可 能 出 现 的 网 络 非法 操作 而 采取 的 安全 保护 措施 。 用 户 和 用 户 组 
被 赋予 一 定 的 操作 权限 。 网 络 管理 员 能 够 通过 设置 ,指定 用 户 和 用 户 组 可 以 访问 网 络 中 的 
哪些 服务 器 和 计算 机 ,可 以 在 服务 器 或 计算 机 上 操控 哪些 程序 ,访问 哪些 目录 、 子 目录 文件 
和 其 他 资源 。 网 络 管理 员 还 应 该 可 以 根据 访问 权限 将 用 户 分 为 特殊 用 户 .普通 用 户 和 审计 
用 户 , 可 以 设 定 用 户 对 可 以 访问 的 文件 .目录 、 设 备 能 够 执行 何 种 操作 。 特 殊 用 户 是 指 包括 
网 络 管理 员 的 对 网 络 、 系 统 和 应 用 软件 服务 有 特权 操作 许可 的 用 户 ; 普通 用 户 是 指 那 些 由 
网 络 管理 员 根 据 实际 需要 为 其 分 配 操作 权限 的 用 户 ; 审计 用 户 负 责 网 络 的 安全 控制 与 资源 
使 用 情况 的 审计 。 系 统 通常 将 操作 权限 控制 策略 ,通过 访问 控制 表 来 描述 用 户 对 网 络 资源 
的 操作 权限 。 


3. 目录 安全 控制 策略 

访问 控制 策略 应 该 允许 网 络 管理 员 控 制 用 户 对 目录 文件 和 设备 的 操作 。 目 录 安 全 多 
许 用 户 在 目录 一 级 的 操作 对 目录 中 的 所 有 文件 和 子 目 录 都 有 效 。 用 户 还 可 进一步 自行 设置 
对 目录 下 的 子 控 制 目录 和 文件 的 权限 。 对 目录 和 文件 的 常规 操作 有 读 取 (read)、 写 人 
(Cwrite)、 创 建 Ccreate)、 删除 (delete) 和 修改 (modify) 等 。 网 络 管理 员 应 当 为 用 户 设置 适当 
的 操作 权限 ,操作 权限 的 有 效 组 合 可 以 让 用 户 有 效 地 完成 工作 ,同时 又 能 有 效 地 控制 用 户 对 
网 络 资源 的 访问 。 


4. 属性 安全 控制 策略 

访问 控制 策略 还 应 该 允许 网 络 管理 员 在 系统 一 级 对 文件 .目录 等 指定 访问 属性 。 属 
性 安全 控制 策略 允许 将 设 定 的 访问 属性 与 网 络 服务 器 的 文件 .目录 和 网 络 设备 联系 起 
来 。 属 性 安全 策略 在 操作 权限 安全 策略 的 基础 上 ,提供 更 进一步 的 网 络 安全 保障 。 网 络 
上 的 资源 都 应 预先 标 出 一 组 安全 属性 ,用 户 对 网 络 资源 的 操作 权限 对 应 一 张 访问 控制 
表 , 属 性 安全 控制 级 别 高 于 用 户 操作 权限 设置 级 别 。 属 性 设置 经 常 控制 的 权限 包括 向 文 
件 或 目录 写 人 、 文 件 复制 .目录 或 文件 删除 查看 目录 或 文件 .执行 文件 、 隐 含 文件 .共享 
文件 或 目录 等 。 人 允许 网 络 管理 员 在 系统 一 级 控制 文件 或 目录 等 的 访问 属性 ,可 以 保护 网 
络 系统 中 重要 的 目录 和 文件 ,维持 系统 对 普通 用 户 的 控制 权 , 防 止 用 户 对 目录 和 文件 的 
误 删 除 等 操作 。 


第 8 章 企业 级 安全 技术 273 


5. 网 络 服务 器 安全 控制 策略 


网 络 系统 允许 在 服务 器 控制 台 上 执行 一 系列 操作 。 用 户 通 过 控制 台 可 以 加 载 和 印 载 系 
统 模块 ,可 以 安装 和 删除 软件 。 网 络 服务 器 的 安全 控制 包括 可 以 设置 密码 锁定 服务 器 控制 
台 , 以 防止 非法 用 户 修改 系统 、 删 除 重要 信息 或 破坏 数据 。 系 统 应 该 提供 服务 器 登录 限制 、 
非法 访问 者 检测 等 功能 。 


6. 网 络 监测 和 锁定 控制 策略 


网 络 管理 员 应 能 够 对 网 络 实施 监控 。 网 络 服务 器 应 对 用 户 访问 网 络 资源 的 情况 进行 记 
录 。 对 于 非法 的 网 络 访问 ,服务 器 应 以 图 形 .文字 或 声音 等 形式 告警 ,引起 网 络 管理 员 的 注 
意 。 对 于 不 法 分 子 试图 进入 网 络 的 活动 ,网络 服务 器 应 能 够 自动 记录 这 种 活动 的 次 数 , 当 次 
数 达到 设 定数 值 ,该 用 户 账户 将 被 自动 锁定 。 


7. 防火 墙 控制 策略 


防火 墙 是 一 种 保护 计算 机 网 络 安全 的 技术 性 措施 ,是 用 来 阻止 网 络 黑客 进入 企业 内 部 
网 的 屏障 。 防 火 墙 分 为 专门 设备 构成 的 硬件 防火 墙 和 运行 在 服务 器 或 计算 机 上 的 软件 防火 
墙 。 无论 哪 一 种 ,防火 墙 通常 都 安置 在 网 络 边 界 上 ,通过 网 络 通信 监控 系统 隔离 内 部 网 络 和 
外 部 网 络 , 以 阻挡 来 自 外 部 网 络 的 入 侵 。 


8. 访问 控制 管理 

访问 控制 管理 涉及 访问 控制 在 系统 中 的 部 署 .测试 ,监控 及 对 用 户 访问 的 终止 。 虽 然 不 
一 定 需要 对 每 一 个 用 户 设 定 具体 的 访问 权限 ,但 是 访问 控制 管理 依然 需要 大 量 复杂 和 艰巨 
的 工作 。 访 问 控制 决定 需要 考虑 机 构 的 策略 .员工 的 职务 描述 、 信 息 的 敏感 性 和 用 户 的 职务 
需求 等 因素 。 

有 三 种 基本 的 访问 管理 模式 : 集中 式 、 分 布 式 和 混合 式 。 每 种 管理 模式 各 有 优 缺 点 。 
应 该 根据 机 构 的 实际 情况 选择 合适 的 管理 模式 。 

(1) 集中 式 管 理 

集中 式 管理 就 是 由 一 个 管理 者 设置 访问 控制 。 当 用 户 对 信息 的 需求 发 生变 化 时 ,只 
能 由 这 个 管理 者 改变 用 户 的 访问 权限 。 由 于 只 有 极 少 数 人 有 更 改 访 问 权 限 的 权力 ,所 以 
这 种 控制 是 比较 严格 的 。 每 个 用 户 的 账号 都 可 以 被 集中 监控 , 当 用 户 离开 机 构 时 ,其 所 
有 的 访问 权限 可 以 很 容易 地 被 终止 。 因 为 管理 者 较 少 ,所 以 整个 过 程 和 执行 标准 的 一 臻 
性 就 比较 容易 达到 。 但 是 , 当 需 要 快速 而 大 量 修改 访问 权限 时 ,管理 者 的 工作 负担 和 压 
力 就 会 很 大 。 
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(2) 分 布 式 管理 

分 布 式 管理 就 是 把 访问 的 控制 权 交 给 了 文件 的 拥有 者 或 创建 者 ,通常 是 职能 部 门 的 管 
理 者 (functional managers)。 这 就 等 于 把 控制 权 交 给 了 对 信息 负 有 直接 责任 、 对 信息 的 使 
用 最 熟悉 、 最 有 资格 判断 谁 需 要 信息 的 管理 者 的 手中 。 但 是 这 也 同时 造成 在 执行 访问 控制 
的 过 程 和 标准 上 的 不 一 致 性 。 在 任意 时 刻 , 很 难 确定 整个 系统 所 有 用 户 的 访问 控制 情况 。 
不 同 管理 者 在 实施 访问 控制 时 的 差异 会 造成 控制 的 相互 冲突 ,以 致 无 法 满足 整个 机 构 的 需 
求 。 同 时 也 有 可 能 造成 在 员工 调动 和 离职 时 访问 权 不 能 有 效 地 清除 。 

(3) 混合 式 管理 

混合 式 管理 是 集中 式 管理 和 分 布 式 管理 的 结合 。 它 的 特点 是 由 集中 式 管 理 负 责 整个 机 
构 中 基本 的 访问 控制 ,而 由 职能 管理 者 就 其 所 负责 的 资源 对 用 户 进行 具体 的 访问 控制 。 混 
合式 管理 的 主要 缺点 是 难以 划分 哪些 访问 控制 应 集中 控制 ,哪些 应 在 本 地 进行 分 布 式 控制 。 


8.2.4 访问 控制 语言 


可 扩展 的 访问 控制 标记 语言 (extensible access control markup language, XACML) 是 
由 OASIS 组 织 开 发 ,采用 XML 表示 的 访问 控制 策略 语言 。XACML 策略 语言 允许 管理 员 
定义 访问 控制 需求 。XACML 还 包括 一 种 访问 决策 语言 ,用 于 描述 对 资源 运行 时 的 请 求 。 
当 确 定 了 保护 资源 的 策略 之 后 ,函数 会 将 请 求 中 的 属性 与 包含 在 策略 规则 中 的 属性 进行 比 
较 , 最 终生 成 一 个 许可 或 拒绝 决策 。 简 言 之 ,XACML 是 一 种 新 的 用 于 管理 策略 和 访问 控制 
的 标记 语言 ,同时 又 是 一 种 通用 的 访问 控制 策略 定义 语言 ,提供 一 整套 语法 (使 用 XML 定 
义 ) 来 管理 对 系统 资源 的 访问 。 

目前 ,多 数 系统 都 以 专 有 的 方式 实现 访问 控制 和 授权 ,在 专 有 访问 控制 系统 中 ,实体 及 
其 属性 的 信息 保存 在 资料 库 , 即 访问 控制 列表 中 。 不 同 的 专 有 系统 具有 不 同 的 实现 ACL 
的 机 制 , 因 此 难以 交换 和 共享 信息 。 同 时 ,这 些 机 制 缺 少 表示 复杂 策略 (在 现实 系统 中 经 常 
需要 用 到 ) 的 能 力 。 因 此 ,访问 控制 策略 通常 会 宜 入 应 用 程序 代码 中 ,这 使 得 更 改 策略 (或 者 
只 是 找 出 哪些 策略 正在 实施 ) 变 得 很 困难 。 

XACML 的 出 现 使 得 不 同 环境 中 可 以 简单 .灵活 地 制定 各 种 访问 控制 策略 。XACML 
的 通用 性 使 得 各 系统 之 间 的 访问 控制 策略 和 过 程 得 到 标准 化 。XACML 是 一 种 主要 由 机 器 
生成 的 语言 ,它们 能 用 于 多 个 应 用 程序 ,并 可 以 实现 不 同系 统 之 间 访 问 控 制 的 互 操作 。 

目前 ,XACML 的 API 已 经 由 Sun 公司 实现 ,由 Java 语言 写成 , 即 Sun's Java XACML 
Implementation。 它 是 Sun 提供 的 对 于 XACML 标准 的 Java 实现 ,是 目前 关于 XACML 开 
展 最 早 的 开源 项 目 。Sun Java XACML 的 实现 实际 上 是 一 个 对 于 OASIS XACML 标准 支持 
的 类 库 ,在 Sun Java XACML Implementation 1. 2 中 提供 了 对 于 OASIS XACML 标准 2.0 版 本 
的 完全 支持 。 
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和 其 他 专用 访问 控制 策略 语言 比较 ,XACML 有 如 下 优点 。 

@ 安全 管理 员 只 需 对 访问 控制 策略 描述 一 次 ,不 必 在 不 同 的 系统 中 使 用 不 同 的 应 用 程 
序 策略 语言 重 写 多 次 。 

@ 应 用 程序 开发 者 不 必 开 发 自己 的 策略 语言 和 编写 支持 它们 的 程序 ,他 们 可 以 重复 使 
用 已 有 的 和 标准 化 的 程序 。 

@ XACML 能 适应 大 多 数 访问 控制 策略 的 需求 , 当 新 的 访问 控制 要 求 出 现时 ,只 需要 
加 入 策略 ,不 必修 改 应 用 程序 。 

@ 单一 XACML 策略 能 应 用 于 多 个 资源 ,这 有 助 于 在 为 不 同 资源 编制 策略 时 ,避免 不 
一 致 性 和 重复 劳动 。 

@ XACML 中 一 个 策略 可 以 引用 另 一 个 策略 。 

如 前 所 述 , XACML 既是 一 种 访问 控制 策略 语言 ,也 是 访问 控制 判决 请 求 / 应 答 
(request / response) 语 言 。 策 略语 言 用 于 描述 通用 的 访问 控制 需求 ,包括 若干 标准 扩展 点 
来 定义 新 的 函数 .数据 类 型 和 组 合 逻 辑 等 。 请 求 /应 答 描 述 语言 使 得 用 户 可 以 构成 一 个 问 询 
(query) 来 判断 一 个 动作 (action) 是 否 被 允许 执行 ,并 对 结果 进行 解释 。 应 答 总 是 包含 一 个 
请 求 是 否 被 允许 的 一 个 答案 (answer) , 它 为 下 面 4 个 值 之 一 : Permit( 允 许 )、Deny (拒绝)、 
Indeterminate( 不 确定 、 发 生 错 误 .无 法 做 出 判断 ) 和 Not Applicable( 不 适用 ,该 请 求 无 法 被 
服务 器 回应 ) 。 

XACML 的 访问 控制 机 制 如 图 8. 35 所 示 。 主 体 欲 对 某 一 资源 (resource) 执 行 某 些 动作 
时 ,访问 请 求 被 送 往 PEP(policy enforcement point ,策略 执行 点 ),PEP 会 根据 请 求 者 的 属 
性 、 请 求 资源 、 动 作 及 其 他 的 附属 信息 来 构成 一 个 请 求 ,然后 PEP 会 将 该 请 求 发 送 到 PDP 
(policy decision point, 策 略 判 断 点 )。PDP 会 查阅 请 求 及 一 些 关 于 该 请 求 的 访问 控制 策略 
信息 ,并 最 终 回 答 该 访问 是 否 被 承认 合法 ,并 将 这 个 回答 返回 到 PEP, 由 PEP 来 对 请 求 者 做 
允许 或 拒绝 的 回答 。PEP 和 PDP 可 能 被 包容 在 同一 个 应 用 程序 中 ,也 可 能 被 分 布 到 不 同 的 
服务 中 。 


[i Pe EB 执行 访问 | 目标 | 


request | Ee 


PDP 


图 8.35 基于 XACML 的 访问 控制 机 制 
8.2.5 安全 审计 


可 以 将 安全 审计 定义 为 产生 .记录 并 检查 按时 间 顺 序 排列 的 系统 事件 记录 的 过 程 。 安 
全 审计 利用 计算 技术 ,将 计算 机 信息 系统 中 发 生 的 与 安全 相关 的 事件 记录 下 来 ,并 与 安全 规 
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则 库 进 行 比较 ,判断 其 是 否 违 反 了 计算 机 系统 的 安全 规定 ,或 者 提供 事后 追查 的 手段 和 方法 
来 跟踪 并 处 理 安全 问题 。 

通常 ,安全 审计 系统 的 业务 主要 包括 如 下 几 个 部 分 。 

@ 硬件 及 环境 审计 : 包括 硬件 安全 .电源 供应 和 空气 调节 等 。 

@ 系统 管理 审计 : 包括 对 操作 系统 、 数 据 库 管理 系统 和 所 有 系统 过 程 审 计 。 

@ 应 用 软件 审计 : 包括 访问 控制 .授权 和 确认 等 。 

@ 网 络 安全 审计 : 包括 内 部 和 外 部 的 连接 审计 、 周 边 安全 、 防 火 墙 审计 和 端口 扫描 等 。 

@ 数据 完整 性 审计 : 目的 是 详细 检查 有 效 数据 来 核实 对 系统 弱点 的 控制 。 

@ 系统 维护 审计 : 包括 容错 及 备份 程序 和 存储 ,灾难 恢复 等 。 


1. 安全 审计 相关 标准 

审计 作为 一 种 安全 保障 机 制 ,在 最 早 的 TCSEC 中 就 已 经 有 了 明确 的 要 求 。 历 史上 影 
响 较 大 的 两 个 安全 评价 标准 TCSEC 和 CC 都 对 审计 提出 了 明确 的 功能 要 求 。 我 国 的 国标 
《计算 机 信息 系统 安全 保护 等 级 划分 准则 ?也 有 相应 的 规定 。 

(1) TCSEC 标准 

TCSEC(trusted compute system evaluation criteria) 俗 称 检 皮 书 , 是 美国 国防 部 计算 机 
安全 中 心 于 1988 年 发 布 的 “可 信 计 算 机 系统 评估 准则 ”, 最 初 用 于 评估 军用 飞机 的 安全 性 和 
可 靠 程度 。 它 从 包括 应 用 环境 在 内 的 各 个 角度 出 发 ,运用 “级 别 确认 ”的 方法 对 计算 机 系统 
进行 安全 评测 。 

从 C2 级 开始 要 求 具有 审计 功能 ,到 B3 级 已 经 提出 了 关于 审计 的 全 部 功能 要 求 ,Al 和 
A2 两 个 级 别 较 B3 级 没有 增加 任何 安全 审计 特征 。 因 此 ,TCSEC 共 定 义工 的 4 个 级 别 的 
审计 要 求 C2,B1,B2,B3。 

C2 级 要 求 审计 以 下 事件 : 用 户 的 身份 标识 和 鉴别 .用 户 地址 空间 中 客体 的 引入 和 删 
除 .计算 机 操作 员 / 系 统管 理 员 /安全 管理 员 的 行为 .其 他 与 安全 有 关 的 事件 。 对 于 每 一 个 审 
计 事 件 , 审 计 记 录 应 包含 以 下 信息 : 事件 发 生 的 日 期 和 时 间 、 事 件 的 主体 ( 即 用 户 )、 事 件 的 
类 型 事件 成 功 与 否 ; 对 于 用 户 鉴别 这 类 事件 ,还 要 记录 请 求 的 来 源 ( 如 终端 号 ); 对 于 在 用 
户 地 址 空间 中 引入 或 删除 客体 , 则 要 记录 客体 的 名 称 ; 系统 管理 员 对 于 系统 内 的 用 户 和 系 
统 安全 数据 的 修改 也 要 在 审计 记录 中 得 到 体现 。C2 级 要 求 审 计 管理 员 应 能 够 根据 每 个 用 
户 的 身份 进行 审计 。BI1 级 相对 于 C2 级 增加 了 以 下 需要 审计 的 事件 : 对 于 可 以 输出 到 硬 备 
份 设备 上 的 人 工 可 读 标志 的 修改 (包括 敏感 标记 的 覆 写 和 标记 功能 的 关闭 ) 、 对 任何 具有 单 
一 安全 标记 的 通信 通道 或 UO 设备 的 标记 指定 ,对 具有 多 个 安全 标记 的 通信 通道 或 UO 设 
备 的 安全 标记 范围 的 修改 。 因 为 增加 了 强制 访问 控制 机 制 ,Bl 级 要 求 在 审计 数据 中 也 要 记 
录 客 体 的 安全 标记 ,同时 审计 管理 员 也 可 以 根据 客体 的 安全 标记 制定 审计 原则 。B2 级 的 安 
全 功能 要 求 较 之 Bl 级 增加 了 可 信和 路 径 和 隐蔽 通道 分 析 等 ,因此 ,除了 Bl 级 的 审计 要 求 外 ， 
对 于 可 能 被 用 于 存储 型 隐蔽 通道 的 活动 ,在 B2 级 也 要 求 被 审计 。B3 级 在 B2 级 的 功能 基础 
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上 ,增加 了 对 可 能 将 要 违背 系统 安全 政策 这 类 事件 的 审计 ,比如 对 于 时 间 型 隐蔽 通道 的 利 
用 。 审 计 子 系统 能 够 监视 这 类 事件 的 发 生 或 积聚 .并 在 这 种 积聚 达到 某 个 阅 值 时 立即 向 安 
全 管理 员 发 出 通告 。 如 果 随 后 这 类 危险 事件 仍然 持续 下 去 ,系统 应 在 做 出 最 小 牺牲 的 条 件 
下 主动 终止 这 些 事 件 。 这 种 及 时 通告 意味 着 B3 级 的 审计 子 系统 不 像 其 他 较 低 的 安全 级 别 
那样 ,只 要 求 安全 管理 员 在 危险 事件 发 生 之 后 检查 审计 记录 .而 是 能 够 更 快 地 识别 出 这 些 违 
背 系 统 安全 政策 的 活动 ,并 产生 报告 和 进行 主动 响应 。 响 应 的 方式 包括 锁 闭 发 生 此 类 事件 
的 用 户 终 端 或 者 终止 可 疑 的 用 户 进 程 。 一 般 的 ,“ 最 小 的 牺牲 "是 与 具体 应 用 有 关 的 ,任何 终 
止 这 类 危险 事件 的 行为 都 是 可 以 接受 的 。 

(2) TNI 标准 

TNI(trusted network interpretation ) 俗称 “红皮书 ”, 是 美国 国家 计算 机 安全 中 心 在 
1990 年 公布 的 “可 信 网 络 解释 ”准则 ,是 将 * 橙 皮 书 ”中 的 评估 原则 应 用 于 网 络 系统 ,并 作为 
评价 计算 机 网 络 安全 保密 特性 的 依据 。 它 将 整个 网 络 的 安全 策略 分 解 成 若干 策略 单元 ,分 
别 置 于 适当 的 自主 的 网 络 组 件 中 去 实现 ,使 其 成 为 每 一 网 络 组 件 安全 策略 的 基础 ,这 样 就 
从 总 体 上 确保 了 整个 网 络 安全 策略 的 有 效 实施 。 

(3) CC 标准 

CCCcommon criteria for information technology security evaluation) 是 国际 标准 化 组 织 与 国 
际 电工 委员 会 于 1998 年 发 表 的 《信息 技术 安全 性 评估 通用 准则 2. 0 版 》, 即 ISOVIEC 15408 , 称 
为 CC 标准 。CC 标准 是 信息 技术 安全 性 通用 评估 准则 ,用 来 评估 信息 系统 或 者 信息 产品 的 
安全 性 。CC 准则 的 安全 功能 需求 定义 了 多 个 安全 功能 需求 类 ,其 中 包括 安全 审计 类 。 在 
CC 准则 中 ,对 网 络 安全 审计 定义 了 一 套 完整 的 功能 ,如 安全 审计 自动 响应 (security audit 
auto response) ,安全 审计 事件 生成 (security audit data generation) ,安全 审计 分 析 (security 
audit analysis) 、 安 全 审计 浏览 (security audit review) ,安全 审计 事件 选择 (security audit 
event selection) 和 安全 审计 事件 存储 (security audit event storage) 等 。 

(4) 国标 GB 17859-1999 

依据 我 国 计 算 机 信息 系统 安全 保护 等 级 划分 准则 国标 GB 17859-1999 第 三 级 中 关于 安 
全 和 审计 的 要 求 , 应 确定 如 下 的 审计 事件 作为 审计 内 容 : 身份 鉴别 机 制 的 使 用 ; 将 客体 引入 
用 户 地 址 空间 ; 客体 的 删除 ; 操作 员 、 系 统管 理 员 或 系统 安全 管理 员 所 实施 的 动作 ; 其 他 的 
与 安全 相关 的 事件 等 。 而 每 一 事件 的 审计 记录 项 应 包括 事件 的 日 期 与 时 间 、 用 户 、 事 件 类 
型 .实践 成 功 与 否 。 对 于 身份 鉴别 事件 ,审计 记录 还 应 包括 请 求 的 来 源 ; 对 于 客体 引入 用 户 
地 址 空间 的 事件 及 客体 删除 事件 ,审计 记录 还 应 该 包括 客体 的 名 称 和 客体 的 安全 级 别 等 。 


2. 安全 审计 系统 的 主要 功能 

根据 安全 审计 的 相关 标准 和 安全 系统 实际 的 需要 ,安全 审计 系统 应 具备 如 下 功能 。 

(1) 安全 审计 自动 响应 

安全 审计 自动 响应 是 指 当 安全 审计 系统 检测 出 一 个 安全 违规 事件 (或 者 是 潜在 的 违规 ) 
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时 采取 的 自动 响应 措施 。 当 检测 到 潜在 的 安全 违规 时 ,安全 审计 自动 响应 应 该 采取 措施 以 
避免 即将 来 临 的 安全 违规 。 例 如 安全 告警 ,可 以 包括 实施 告警 的 生成 .违例 进程 的 终止 .中 
断 服务 及 用 户 账号 的 失效 等 。 在 实际 应 用 中 可 以 自 定义 多 种 响应 措施 ,根据 审计 事件 的 不 
同 , 系 统 做 出 不 同 的 响应 。 一 个 系统 实现 了 安全 审计 自动 响应 将 会 实时 通知 管理 员 系 统 上 
发 生 的 安全 事件 , 某 些 自动 响应 措施 还 可 以 实时 地 降低 损失 。 
(2) 安全 审计 数据 生成 
安全 审计 数据 生成 是 指 对 安全 功能 控制 下 发 生 的 安全 相关 事件 进行 记录 ,包括 确定 审 
计 等 级 .列举 可 审计 的 事件 类 型 ,定义 由 不 同类 型 审计 记录 提供 的 审计 相关 信息 的 最 小 
集合 。 
产生 的 审计 数据 包括 对 于 敏感 数据 项 (例如 密码 等 ) 的 访问 ; 目标 对 象 的 删除 ; 访问 权 
限 或 能 力 的 授予 和 废除 ; 改变 主体 或 目标 的 安全 属性 ; 标识 定义 和 用 户 授 权 认 证 功能 的 使 
用 ; 审计 功能 的 启动 和 关闭 等 。 
安全 审计 数据 生成 功能 应 该 在 每 条 审计 记录 中 至 少 记 录 以 下 信息 。 
Q@ 事件 发 生 的 时 间 、 事 件 类 型 .事件 主 标 识 及 事件 发 生 的 结果 (例如 成 功 或 失败 )。 
@ 基于 可 审计 事件 功能 组 成 的 定义 ,对 不 同 审计 事件 进行 类 型 划分 。 
@ 用 户 相 关 标 识 , 应 该 能 够 把 每 个 可 审计 事件 和 产生 此 事件 的 用 户 标识 关联 起 来 。 
(3) 安全 审计 分 析 
安全 审计 分 析 是 指 对 系统 行为 和 审计 数据 进行 自动 分 析 , 以 发 现 潜在 的 或 实际 发 生 的 
安全 违规 。 安 全 审计 分 析 的 能 力 直接 关系 到 能 和 否 识 别 真 正 的 安全 违规 。 安 全 审计 分 析 需 要 
入 侵 检测 技术 .自动 响应 技术 的 支持 。 安 全 审计 分 析 包 括 潜在 攻击 分 析 、 基 于 模板 的 异常 检 
测 .简单 攻击 试探 和 复杂 攻击 试探 。 
。 潜在 攻击 分 析 : 系统 能 用 一 系列 的 规则 监控 审计 事件 ,并 根据 规则 识别 系统 的 潜在 
攻击 。 
。 基于 模板 的 异常 检测 : 检测 系统 不 同等 级 用 户 的 行动 记录 , 当 用 户 的 活动 等 级 超过 
了 限定 的 等 级 时 ,应 指示 其 为 一 个 潜在 的 攻击 。 
。 简单 攻击 试探 : 当 发 现 一 个 系统 事件 与 一 个 表示 对 系统 潜在 攻击 的 特征 事件 匹配 
时 ,应 指示 其 为 一 个 潜在 的 攻击 。 
。 复杂 攻击 试探 : 当 发 现 一 个 系统 事件 或 事迹 序列 与 一 个 系统 潜在 攻击 的 特征 事件 
匹配 时 ,应 指示 其 为 一 个 潜在 的 攻击 。 复 杂 攻 击 试 探 法 能 够 描绘 和 检测 出 多 步骤 的 
入 侵 攻 击 方案 ,能 够 对 比 系统 事件 (可 能 是 多 个 个 体 实现 ) 和 事件 序列 来 描绘 出 整个 
攻击 方案 , 当 发 现 某 个 特征 事件 或 者 事件 序列 时 ,能够 表明 发 生 了 潜在 的 违规 。 
(4) 安全 审计 浏览 
安全 审计 浏览 是 指 经 过 授权 的 管理 人 员 对 于 审计 记录 的 访问 和 浏览 。 安 全 系统 需要 提 
供 审计 浏览 的 工具 。 通 常 审计 系统 对 审计 数据 的 浏览 有 授权 控制 ,审计 记录 只 能 被 授权 的 
用 户 浏览 ,并 且 对 于 审计 数据 也 是 有 选择 地 浏览 。 有 些 审计 系统 提供 数据 解释 和 条 件 搜索 
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等 功能 ,帮助 管理 员 方便 地 浏览 审计 记录 。 这 里 包括 三 种 浏览 方式 : 一 般 审计 浏览 、 受 限 审 
计 浏览 和 可 选 审计 浏览 。 

。 一 般 审计 浏览 : 提供 从 审计 记录 中 读 取 信息 的 能 力 。 应 当做 好 对 审计 记录 具有 读 
访问 权限 的 用 户 组 的 维护 (删除 修改, 添加)。 提 供 授 权 用 户 得 到 审计 记录 信息 ,并 
且 能 够 做 出 相应 解释 。 

受 限 审计 浏览 : 除了 经 过 鉴定 的 授权 用 户 , 没 有 其 他 任何 用 户 可 以 读 取 该 信息 。 
可 选 审计 浏览 : 可 以 通过 审计 工具 按照 一 定 标 准 来 选择 审计 数据 进行 浏览 。 需 要 
对 审计 数据 提供 逻辑 关系 上 的 查询 .排序 等 能 力 。 

(5) 安全 审计 事件 选择 

安全 审计 事件 选择 是 指 管 理 员 可 以 选择 接受 审计 的 事件 ,定义 了 从 可 审计 的 事件 集合 
中 选择 接受 审计 的 事件 或 者 不 接受 审计 的 事件 。 一 个 系统 通常 不 可 能 记录 和 分 析 所 有 的 事 
件 ,因为 选择 过 多 的 事件 将 无 法 实时 处 理 和 存储 ,所 以 安全 审计 事件 选择 的 功能 可 以 减少 系 
统 开销 ,提高 审计 的 效率 。 此 外 ,因为 不 同 场合 的 需求 不 同 ,所 以 需要 为 特定 场合 配置 特定 
的 审计 事件 选择 。 安 全 审计 系统 应 该 能 够 维护 ,检查 或 修改 审计 事件 的 集合 ,能 够 选择 对 哪 
些 安 全 属性 进行 审计 ,例如 与 目标 标识 、 用 户 标 识 、 主 机 标识 或 事件 类 型 有 关 的 属性 。 

(6) 安全 审计 事件 存储 

安全 审计 事件 存储 主要 是 指 对 安全 审计 跟踪 记录 的 建立 ` 维 护 , 如 何 保护 审计 ,如 何 保 
证 审计 记录 的 有 效 性 ,以 及 如 何 防止 审计 数据 的 丢失 等 。 审 计 系 统 需要 对 审计 记录 、 审 计数 
据 进行 严密 保护 ,防止 未 授权 修改 。 还 需要 考虑 在 极端 情况 下 保护 审计 数据 有 效 性 ,如 存储 
介质 失效 .设计 系统 受到 攻击 等 。 

系统 将 提供 控制 措施 以 防止 由 于 资源 的 不 可 用 而 丢失 审计 数据 ,能 够 创建 ` 维 护 、 访 问 
它 所 保护 的 对 象 的 审计 踪迹 ,并 保护 其 不 被 修改 , 非 授权 访问 或 破坏 。 审 计数 据 将 受到 保护 
直至 授权 用 户 对 它 进行 访问 。 它 可 保证 某 个 指定 量度 的 审计 记录 被 维护 ,并 不 受 以 下 事件 
的 影响 : 审计 存储 空间 用 尽 ; 审计 存储 故障 ; 非法 攻击 ; 其 他 任何 非 预期 事件 。 系 统 能 在 
审计 存储 发 生 故 障 时 或 在 审计 存储 即将 用 尽 时 采取 相应 的 动作 。 

安全 审计 数据 保护 应 包括 如 下 方面 。 

@ 受 保护 的 审计 跟踪 存储 。 需 要 存储 好 审计 跟踪 记录 ,防止 发 生 未 授权 删除 或 修改 ; 

@ 审计 数据 有 效 性 的 保证 。 需 要 保护 存储 的 审计 记录 ,防止 发 生 未 授权 删除 ; 需要 能 
够 防止 或 者 检测 出 审计 记录 的 修改 ; 当 存储 介质 异常 .失效 系统 受到 攻击 时 ,应 该 保证 审计 
记录 的 有 效 性 。 

@@ 可 能 丢失 数据 情况 下 的 措施 。 当 审计 记录 数目 超过 预 设 值 时 ,为 了 防止 可 能 出 现 的 
审计 数据 丢失 而 需要 采取 一 定 措施 。 

@ 预防 审计 数据 丢失 。 当 审计 记录 跟踪 用 尽 系统 资源 时 ,需要 从 以 下 措施 中 进行 选 
择 : 忽略 可 审计 事件 ; 除了 具有 特殊 权限 的 用 户 操作 外 ,禁止 可 审计 事件 ; 覆盖 旧 的 存储 的 
审计 记录 等 。 
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审计 是 系统 安全 策略 的 一 个 重要 组 成 部 分 , 它 贯穿 整个 系统 不 同安 全 机 制 的 实现 过 程 ， 
为 其 他 安全 策略 的 改进 和 完善 提供 了 必要 的 信息 。 而 且 , 它 的 深入 研究 为 后 来 的 一 些 安全 
策略 的 诞生 和 发 展 提供 了 契机 。 后 来 发 展 起 来 的 人 侵 检 测 系统 就 是 在 审计 机 制 的 基础 上 得 
到 启示 而 迅速 发 展 起 来 的 。 

目前 ,网 络 安全 审计 系统 刚刚 起 步 不 久 , 尚 处 在 探索 阶段 ,其 审计 重点 也 在 网 络 的 访问 
行为 和 网 络 中 的 各 种 数据 。 i Purdue 大 学 的 NASHIS 系统 较为 著名 。 

安全 和 审计 系统 作为 一 个 完整 安全 框架 中 的 一 个 必要 环节 ,一 般 处 在 入 侵 检测 系统 之 后 
作为 类 六 水 寺 系 统 和 大 柑 答 测 系 半 的 一 企 补 并 因为 网 络 安全 审计 系统 能 够 分 析出 某 些 特 
殊 的 IDS 无 法 检测 的 入 侵 行为 (比如 时 间 跨 度 很 大 的 长 期 的 攻击 特征 ); 可 以 对 入 侵 行为 进 
行 记 录 并 能 够 在 任何 时 间 对 其 进行 再 现 以 达到 取证 的 目的 。 同 时 ,通过 安全 审计 分 析 , 可 以 
提取 一 些 未 知 的 或 者 未 被 发 现 的 入 侵 行为 模式 。 

除了 专门 的 安全 审计 系统 外 ,操作 系统 或 应 用 程序 提供 辅助 手段 进行 安全 相关 事件 的 
跟踪 和 和 审计。 其 中 ,日 志 是 安全 审计 的 一 种 重要 手段 ,系统 的 日 志 记 录 提 供 了 对 系统 活动 的 
详细 审计 ,这 些 日 志 用 于 评估 、 审查 系统 的 运行 环境 和 各 种 操作 。 一 般 日 志 记录 包括 记录 用 
户 登 录 时 间 、 登 录 地 点 及 进行 什么 操作 等 内 容 。 日 志 记 录 可 以 向 系统 管理 员 提供 有 关 人 危害 
安全 的 侵害 或 人 侵 试图 等 用 于 安全 审计 的 有 用 信息 。 


8.3 防火 墙 技术 


8.3.1 防火 墙 概述 


如 图 8. 36 所 示 ,防火 墙 是 位 于 两 个 或 多 个 网 络 之 间 ,实施 网 间 访 问 控制 的 一 组 组 件 的 
集合 。 在 实施 安全 策略 之 后 ,防火 墙 能 够 限制 被 保护 的 内 网 与 外 网 之 间 的 信息 存 取 和 交换 
操作 ,作为 不 同 网 络 或 网 络 安全 域 之 间 交 换 信息 的 出 入口 ,根据 企业 的 安全 策略 控制 出 入 网 
络 的 信息 流 。 防 火 墙 是 一 个 分 离 器 ,一 个 限制 器 ,也 是 一 个 分 析 器 ,控制 内 部 网 和 外 部 网 之 


间 的 活动 ,以 提高 内 部 网 络 的 安全 性 。 
一 个 部 署 了 防火 墙 的 系统 应 该 具有 如 下 特征 。 
防火 增 
图 8.36 防火 墙 示意 图 


Q@ 内 部 网 络 和 外 部 网 络 在 物理 上 是 连通 的 。 

@ 内 部 和 外 部 之 间 的 所 有 网 络 数 据 流 必须 经 
过 防火 墙 。 

@ 只 有 符合 安全 政策 的 数据 流 才 能 通过 防 
火 墙 。 

@ 防火 墙 自身 应 对 渗透 (penetration ) 免 疫 。 

防火 墙 经 历 了 一 个 发 展 过 程 ,第 一 代 防 火 墙 采 用 包 过 滤 技 术 。1989 年 ,推出 了 电路 级 


外 部 网 络 
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防火 墙 和 应 用 层 防火 墙 。1992 年 ,开发 出 了 基于 动态 包 过 滤 技 术 的 防火 墙 。1998 年 ,NAI 
公司 推出 了 一 种 自 适应 代理 技术 。 

设计 和 部 署 防火 墙 时 须 考 虑 两 个 因素 , 即 安全 性 和 实用 性 。 应 该 综合 考虑 安全 性 和 实 
用 性 ,在 满足 安全 性 的 前 提 下 尽量 提高 其 可 用 性 ,把 它 对 系统 的 影响 降低 。 目 前 ,防火 墙 设 
计时 多 数 采 用 的 是 “没有 被 允许 就 是 禁止 ?的 策略 ,就 是 将 防火 墙 的 安全 性 放 在 首位 ,这 也 正 
是 设计 者 的 初 囊 。 同 时 ,在 足够 安全 的 情况 下 ,应 增加 防火 墙 的 实用 性 。 

目前 防火 墙 在 应 用 上 仍 存在 一 些 不 足 ,例如 下 面 这 些 方面 。 

@ 不 能 防止 内 部 的 人 为 破坏 。 一 旦 进入 到 系统 内 部 或 取得 了 系统 控制 权 , 那 么 防火 墙 
就 形同虚设 了 。 也 就 是 说 ,防火 墙 不 能 保护 发 生 在 子 网 (或 节点 ) 内 部 的 破坏 。 

@ 目前 的 防火 墙 还 不 能 有 效 防 御 新 的 特洛伊 木马 等 恶意 程序 , 它 只 是 一 种 被 动 式 的 防 
御 手 段 。 男 外 ,对 于 来 自 非 网 络 而 是 存储 介质 上 的 恶意 程序 ,也 不 能 起 到 阻挡 作用 。 同 时 ， 
防火 墙 很 难 防范 数据 驱动 型 的 攻击 。 数 据 驱 动 型 的 攻击 从 表面 上 看 是 无 害 的 ,数据 被 邮寄 
或 复制 到 Internet 主机 上 ,实际 上 ,数据 包 中 包括 了 一 些 隐 藏 的 指令 ,一旦 执行 就 开始 攻击 ， 
从 而 使 人 侵 者 获得 对 系统 的 访问 权 。 

@ 防火 墙 为 了 提高 被 保护 网 络 和 节点 的 安全 性 ,可 能 会 限制 或 关闭 一 些 有 用 但 存在 安 
全 缺陷 的 网 络 服务 ,从 而 损失 可 用 性 。 由 于 绝 大 多 数 网 络 服务 设计 之 初 没 有 考虑 安全 性 ,只 
考虑 使 用 的 方便 性 和 资源 共享 ,所 以 安全 问题 普遍 存在 。 如 果 完 全 禁止 这 些 服务 , 则 会 损失 
可 用 性 。 

@ 防火 墙 会 在 一 定 程度 上 影响 网 络 性 能 。 例 如 ,布置 了 防火 墙 后 ,通过 它 再 访问 
Internet 时 带宽 就 会 被 降低 。 

@ 可 移植 性 问题 。 到 目前 为 止 , 尚 不 存在 真正 开放 的 、 与 软 硬 件 平台 无 关 的 防火 墙 软 
件 产品 。 

@ 多 数 防 火 墙 不 具有 专业 防御 病毒 的 功能 ,必须 使 用 防 病 毒 软件 来 防御 病毒 。 


8.3.2 防火 墙 分 类 


防火 墙 中 可 使 用 多 种 网 络 安全 技术 和 手段 ,但 总 体 来 讲 , 可 以 将 防火 墙 分 为 “" 包 过 滤 型 ” 
和 * 应 用 代理 型 "两 大 类 。 


1. 包 过 滤 (packet filtering) 型 防火 墙 


如 图 8. 37 所 示 , 包 过 滤 型 防火 墙 工作 在 OSI 网 络 参考 模型 的 网 络 层 和 传输 层 , 它 根据 
数据 包 的 源 地 址 、 目 的 地 址 、 端 口号 和 协议 类 型 等 标志 确定 是 否 允 许 数 据 包 通过 。 只 有 满足 
过 滤 条 件 的 数据 包 才 被 转发 到 相应 的 目的 地 ,其 余数 据 包 则 被 从 数据 流 中 丢弃 。 

包 过 滤 方 式 是 一 种 通用 、 廉 价 和 有 效 的 安全 手段 。 之 所 以 通用 ,是 因为 它 不 是 针对 各 个 
具体 的 网 络 服务 采取 特殊 的 处 理 方式 ,适用 于 所 有 网 络 服务 ; 之 所 以 廉价 ,是 因为 大 多 数 路 


包 过 滤 防 火 墙 
] 


图 8.37 包 过 滤 防 火 墙 示意 图 


由 器 都 提供 数据 包 过 滤 功 能 ,所 以 这 类 防火 墙 多 数 是 由 路 由 器 集成 的 ; 之 所 以 有 效 , 是 因为 
它 能 在 很 大 程度 上 满足 绝 大 多 数 企 业 的 安全 要 求 。 

包 过 滤 技 术 的 具体 实现 和 应 用 包括 商业 版 防火 墙 产 品 . 个 人 防火 墙 .路 由 器 和 开源 软件 
(如 Ipfilter ,Ipchains 和 Iptables) 等 。 

在 防火 墙 技术 的 发 展 过 程 中 , 包 过 滤 技 术 出 现 了 两 种 不 同 版 本 , 称 为 “静态 包 过 滤 ” 和 
“动态 包 过 滤 ”。 

(1) 静态 包 过 滤 防 火 墙 

这 类 防火 墙 几 乎 是 与 路 由 器 同时 产生 的 , 它 根 据 定义 好 的 过 滤 规 则 审查 每 个 数据 包 , 以 
便 确定 其 是 否 与 某 一 条 包 过 滤 规 则 匹配 。 过 滤 规 则 基于 数据 包 的 报头 信息 进行 制定 。 报 头 
信息 中 包括 IP 源 地 址 、IP 目标 地 址 ,传输 协议 (如 TCP、UDP 和 ICMP 等 )、TCP/UDP 目标 
端口 和 ICMP 消息 类 型 等 。 

静态 包 过 滤 防 火 墙 的 协议 层次 如 图 8. 38 所 示 。 


源 端 防火 墙 目标 端 
应 用 层 应 用 层 应 用 层 
传输 层 传输 层 传输 层 
网 多 网 网 
链 路 层 链 路 层 链 路 层 
物理 层 物理 层 物理 层 


图 8.38 静态 包 过 滤 防 火 墙 的 协议 层次 


(2) 动态 包 过 滤 防火 墙 

这 类 防火 墙 采用 动态 设置 包 过 滤 规 则 的 方法 ,这 种 技术 后 来 发 展 成 为 包 状 态 监测 
(stateful inspection) 技 术 。 采 用 这 种 技术 的 防火 墙 对 通过 其 建立 的 每 一 个 连接 都 进行 跟 
踪 ,并 且 根 据 需要 可 动态 地 在 过 滤 规 则 中 增加 或 更 新 条 目 。 

包 过 滤 方 式 的 优点 是 不 用 改动 客户 机 和 主机 上 的 应 用 程序 ,因为 它 工 作 在 网 络 层 和 传 
输 层 ,与 应 用 层 无 关 。 但 其 弱点 也 是 明显 的 : 过 滤 判 别 的 依据 只 是 网 络 层 和 传输 层 的 有 限 
信息 ,因而 各 种 安全 要 求 不 可 能 充分 满足 ; 在 许多 过 滤器 中 ,过 滤 规 则 的 数目 是 有 限制 的 ， 
且 随 着 规则 数目 的 增加 ,性 能 会 受到 很 大 影响 ; 由 于 缺少 上 下 文 关联 信息 ,不 能 有 效 地 过 滤 
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如 UDP、RPC( 远 程 过 程 调用 ) 一 类 的 协议 。 另 外 ,大 多 数 过 滤器 中 缺少 审计 和 告警 机 制 , 它 
只 能 依据 包头 信息 ,而 不 能 对 用 户 身份 进行 验证 ,很 容易 受到 “地 址 欺骗 型 ”攻击 。 对 安全 管 
理 人 员 素 质 要 求 高 ,建立 安全 规则 时 ,必须 对 协议 本 身 及 其 在 不 同 应 用 程序 中 的 作用 有 较 深 
入 的 理解 。 因 此 ,过 滤器 通常 和 应 用 网 关 配合 使 用 ,共同 组 成 防火 墙 系统 。 

动态 包 过 滤 防 火 墙 的 协议 层次 如 图 8. 39 所 示 。 


源 端 防火 墙 目标 端 
应 用 层 应 用 层 应 用 层 
食 病 层 | ”| 全 病 层 | “| 伟 辆 层 
网 络 层 | |! 网 络 层 | |! | 网 络 层 
链 路 层 | | 链 路 层 | ”| | 链 路 层 
物理 层 | | 物理 层 | ”| ”| 物理 层 
| | 
连接 状态 表 


图 8. 39 动态 包 过 滤 防 火 墙 的 协议 层次 


2. 代理 Capplication proxy) 型 防火 墙 

代理 防火 墙 工作 在 OSI 的 高 层 , 即 应 用 层 或 传输 层 与 应 用 层 之 间 ( 如 socks 服务 器 ) 。 
其 特点 是 完全 “阻隔 "了 网 络 通信 流 , 通 过 对 每 种 应 用 服务 编制 专门 的 代理 程序 ,实现 监视 和 
控制 应 用 层 通信 流 的 作用 。 其 典型 网 络 结构 如 图 8. 40 所 示 。 


应 用 层 代理 服务 


1 
1 
| 代理 服务 器 应 用 仿 议 分 入 代理 客户 | ! 
1 


转发 响应 


地 


客户 端 客户 端 客户 端 
图 8. 40 ”代理 型 防火 墙 的 工作 示意 图 


二 
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代理 型 防火 墙 的 实现 及 其 应 用 包括 各 类 代理 型 服务 器 ,如 wingate、ccproxy 和 sygate 等 。 
进一步 可 以 把 代理 型 防火 墙 分 为 应 用 网 关 型 防火 墙 ` 电 路 级 代理 型 防火 墙 ( 电 路 级 网 


关 ) 和 自 适应 代理 防火 墙 。 


(1) 应 用 网 关 (application gateway) 

这 类 防火 墙 是 通过 一 种 代理 (proxy) 技 术 参 与 到 一 个 TCP 连接 的 全 过 程 。 从 内 部 发 出 
的 数据 包 经 过 这 样 的 防火 墙 处 理 后 ,就 好 像 是 源 于 防火 墙 外 部 网 卡 一 样 , 从 而 可 以 达到 隐藏 
内 部 网 结构 的 作用 。 这 种 类 型 的 防火 墙 被 网 络 安全 专家 和 媒体 公认 为 是 最 安全 的 防火 墙 。 
它 的 核心 技术 就 是 代理 服务 器 技术 。 其 工作 的 协议 层次 如 图 8. 41 所 示 。 


源 端 防火 墙 目标 端 
用 用 用 
传输 层 传输 层 传输 层 
网 络 层 网 络 层 网 络 层 
链 路 层 链 路 层 链 路 层 
物理 层 物理 层 物理 层 

图 8.41 应 用 网 关 防 火 墙 的 协议 层次 


(2) 电路 级 网 关 (circuit gateway) 


电路 级 网 关 的 工作 原理 和 应 用 网 关 型 防火 墙 相同 , 它 接收 客户 端 连接 请 求 ,代理 客户 端 
完成 网 络 连接 ,在 客户 和 服务 器 之 间 中 转 数据 。 和 应 用 程序 网 关 不 同 的 是 , 它 不 是 针对 不 同 
的 应 用 程序 设计 的 ,而 是 工作 在 应 用 层 和 传输 层 之 间 ( 其 协议 层次 如 图 8. 42 所 示 )。 它 根据 
客户 的 地 址 及 所 请 求 端口 ,将 该 连接 重 定向 到 指定 的 服务 器 地 址 及 端口 上 ,对 客户 端 应 用 完 
全 透明 ,通用 性 强 。 实 现 电路 级 网 关 的 典型 协议 是 socks( 见 6. 3 节 )。 


源 端 防火 墙 目标 端 

| 传 辆 层 传 辆 及 传 辆 层 
网 络 层 网 络 层 网 络 层 

链 路 层 链 路 层 链 路 层 
物理 层 物理 层 物理 层 


图 8.42 电路 级 网 关 的 协议 层次 


4 


目前 ,许多 商业 代理 服务 器 均 支 持 应 用 层 代理 服务 器 和 电路 级 网 关 。 
(3) 自 适 应 代理 (adaptive proxy) 防 火 墙 
它 是 近 几 年 才 得 到 广泛 应 用 的 一 种 新 防火 墙 类 型 。 它 可 以 结合 代理 类 型 防火 墙 的 安全 
性 和 包 过 滤 防 火 墙 的 高 速度 等 优点 ,在 毫 不 损失 安全 性 的 基础 之 上 将 代理 型 防火 墙 的 性 能 
提高 10 倍 以 上 。 组 成 这 种 类 型 防火 墙 的 基本 要 素 有 两 个 : 自 适 应 代理 服务 器 (adaptive 


proxy server) 与 动态 包 过 滤器 (dynamic packet filter) 。 
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在 “ 自 适 应 代理 服务 器 ”与 “动态 包 过 滤器 "之 间 存 在 一 个 控制 通道 。 在 对 防火 墙 进行 配 
置 时 ,用 户 仅 仅 将 所 需要 的 服务 类 型 .安全 级 别 等 信息 通过 相应 Proxy 的 管理 界面 进行 设置 
就 可 以 了 。 然 后 , 自 适应 代理 就 可 以 根据 用 户 的 配置 信息 ,决定 是 使 用 代理 服务 从 应 用 层 代 
理 请 求 还 是 从 网 络 层 转发 包 。 如 果 是 后 者 , 它 将 动态 地 通知 包 过 滤器 增 减 过 滤 规 则 ,满足 用 
户 对 速度 和 安全 性 的 双重 要 求 。 

代理 型 防火 墙 最 突出 的 优点 是 安全 。 由 于 它 工作 于 高 层 协议 ,所 以 可 以 对 网 络 中 任何 
一 层 数据 通信 进行 筛选 保护 ,而 不 是 像 包 过 滤 那 样 , 只 是 对 网 络 层 的 数据 进行 过 滤 。 

此 外 ,代理 型 防火 墙 采取 的 是 一 种 代理 机 制 ,可 以 为 每 一 种 应 用 服务 建立 一 个 专门 的 代 
理 。 所 以 内 外 部 网 络 之 间 的 通信 不 是 直接 的 ,而 都 需 先 经 过 代理 服务 器 审核 ,通过 后 青 由 代 
理 服务 器 代为 连接 ,根本 没有 给 内 、 外 部 网 络 计算 机 任何 直接 会 话 的 机 会 ,从 而 避免 了 入 侵 
者 使 用 数据 驱动 类 型 的 攻击 方式 人 侵 内 部 网 。 

代理 型 防火 墙 的 缺点 是 速度 相对 比较 慢 , 当 用 户 对 内 外 部 网 络 网 关 的 吞吐 量 要 求 比较 
高 时 ,代理 型 防火 墙 就 会 成 为 内 外 部 网 络 之 间 的 瓶颈 。 那 是 因为 防火 墙 需要 为 不 同 的 网 络 
服务 建立 专门 的 代理 服务 ,在 自己 的 代理 程序 为 内 、 外 部 网 络 用 户 建立 连接 时 需要 时 间 ,所 
以 给 系统 性 能 带 来 了 一 些 负 面 影响 ,但 通常 不 会 很 明显 。 

包 过 滤 和 代理 防火 墙 有 各 自 的 特点 和 适用 场合 , 表 8. 3 中 给 出 了 两 者 之 间 的 优 缺 点 比较 。 


表 8.3 包 过 滤 和 代理 防火 墙 的 特点 比较 


包 过 滤 防 火 墙 代理 防火 墙 
内 置 了 专门 为 了 提高 安全 性 而 编制 的 Proxy 应 用 程序 ,能 够 
价格 较 低 透彻 地 理解 相关 服务 的 命令 ,对 来 往 的 数据 包 进 行 安全 化 
优点 处 理 

全 \ 许 涌 过 防火 增 、 到 司 
性 能 开销 小 ,处 理 速度 较 忆 ee 
定义 复杂 ,容易 出 现 因 配 置 不 当 | 速度 较 慢 ,不 太 适 用 于 高 速 网 (ATM 或 千 兆 位 Intranet 等 ) 之 
带 来 的 问题 间 的 应 用 
允许 数据 包 直接 通过 ,容易 造成 
缺点 | 数据 驱动 式 攻击 的 潜在 危险 
不 能 理解 特定 服务 的 上 下 文 环 
境 , 相 应 控制 只 能 在 高 层 由 代理 
服务 和 应 用 层 网 关 来 完成 


8.3.3 ”防火 墙 相 关 技 术 


防火 墙 使 用 的 相关 技术 主要 有 包 过 滤 技术 .代理 技术 .地 址 翻译 技术 和 VPN 技术 
( 见 8.1 节 ) 等 。 
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1. 包 过 滤 技术 

包 过 滤 技 术 是 防火 墙 中 的 一 项 主要 安全 技术 , 它 通过 防火 墙 对 进出 网 络 的 数据 流 进 行 
控制 与 操作 。 系 统管 理 员 可 以 设 定 一 系列 规则 ,允许 指定 哪些 类 型 的 数据 包 可 以 流入 或 流 
出 内 部 网 络 ; 哪些 类 型 的 数据 包 传 输 应 该 被 拦截 。 现 在 的 一 些 包 过 滤 防 火 墙 不 仅 根据 IP 
数据 包 的 地 址 .方向 .协议 .服务 .端口 和 访问 时 间 等 信息 来 进行 访问 控制 ,同时 还 对 任何 网 
络 连接 和 当前 的 会 话 状 态 进 行 分 析 和 监控 。 

一 般 , 包 过 滤 的 判断 依据 如 下 。 

。 数据 包 协议 类 型 : 如 TCP .UDP ICMP 和 IGMP 等 。 

。 源 .目的 IP 地 址 。 

。 源 .目的 端口 : 如 FTP、HTTP 和 DNS 等 。 

。 IP 选项 ; 源 路 由 、 记 录 路 由 等 。 

。 TCP 选项 : 如 SYN、ACK .FIN 和 RST 等 。 

。 其 他 协议 选项 : 如 ICMP ECHO ICMP ECHO REPLY 等 。 

。 数据 包 流 向 : in 或 out。 

。 数据 包 流 经 网 络 接口 : etho .ethl。 

包 过 滤 防 火 墙 可 以 安装 在 一 个 路 由 器 上 (或 是 一 个 双 端 口 网 关上 ,也 可 以 安装 在 一 台 服 
务 器 上 )。 由 于 Internet 与 Intranet 的 连接 多 数 都 要 使 用 路 由 器 ,所 以 Router 成 为 内 外 通 
信 的 必 经 端口 ,路 由 器 的 厂商 在 路 由 器 上 加 入 IP 包 过 滤 功 能 。 这 种 防火 墙 在 合理 配置 的 前 
提 下 可 以 提供 一 定 的 安全 性 ,然而 一 个 包 过 滤 规 则 是 否 完全 严密 及 必要 是 很 难 判定 的 ,因而 
在 安全 要 求 较 高 的 场合 ,通常 还 配合 使 用 其 他 的 技术 来 加 强 系统 的 安全 性 。 

包 过 滤 防 火 墙 一 般 有 一 个 包 检 查 模块 ,数据 包 过 滤 可 以 根据 IP 数据 包头 中 的 各 项 信息 
来 控制 站 点 与 站 点 、 站 点 与 网 络 、 网 络 与 网 络 之 间 的 相互 访问 。 但 是 , 包 过 滤 防 火 墙 不 能 控 
制 传输 数据 的 内 容 , 因 为 内 容 是 应 用 层 数 据 , 不 是 包 过 滤 系 统 所 能 辨认 的 。 

包 过 滤 模 块 一 般 会 在 操作 系统 或 路 由 器 转发 包 之 前 拦截 所 有 的 数据 包 。 验 证 这 个 包 是 
否 符合 过 滤 规 则 ,并 记录 数据 包 的 情况 (如 数据 包 到 达 或 离开 的 接口 )。 对 符合 规则 的 包 进 
行 处 理 转发 ,对 不 符合 的 包 进 行 告警 或 通知 管理 员 。 如 果 无 匹配 规则 ,那么 ,用 户 配置 的 默 
认 参 数 将 决定 此 包 是 前 行 还 是 被 舍弃 。 过 滤 规 则 指 的 是 系统 管理 员 依 据 本 部 门 的 安全 策略 
起 草 的 规则 集 。 

传统 静态 包 过 滤 型 防火 墙 的 包 过 滤 只 是 与 规则 表 进行 匹配 ,对 符合 规则 的 数据 包 进 行 
处 理 , 不 符合 规则 的 丢弃 。 由 于 是 基于 规则 的 检查 .属于 同一 连接 的 不 同 包 毫 无 任何 联系 ， 
每 个 包 都 要 依据 规则 顺序 过 滤 ,这样 随 着 安全 规则 的 增加 ,势必 会 使 防火 墙 的 性 能 大 幅度 地 
降低 ,造成 网 络 拥塞 。 甚至 黑客 会 采用 IP Spoofing(IP 欺骗 ) 的 办 法 将 自己 的 非法 包 伪 装 成 
属于 某 个 合法 的 连接 。 这 样 的 包 过 滤 既 缺乏 效率 又 容易 产生 安全 漏洞 。 

动态 包 过 滤 防 火 墙 采用 了 基于 连接 状态 检查 的 包 过 滤 , 将 属于 同一 连接 的 所 有 数据 包 
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作为 一 个 整体 的 数据 流 看 待 ,通过 规则 表 与 连接 状态 表 的 共同 配合 ,大 大 地 提高 了 系统 的 性 
能 和 安全 性 。 现 在 的 一 些 包 过 滤 防 火 墙 在 进行 包 的 检测 时 不 仅 将 其 看 成 是 独立 的 单元 , 同 
时 还 要 考虑 与 它 的 前 面包 的 关联 性 。 

与 静态 包 过 滤 技 术 不 同 ,动态 包 过 滤 防 火 墙 知 道 一 个 新 的 连接 和 一 个 已 经 建立 的 连接 
的 不 同 。 对 于 已 经 建立 的 连接 ,动态 包 过 滤 防 火 墙 将 状态 信息 写 进 常 驻 内 存 的 状态 表 , 后 来 
包 的 信息 与 状态 表 中 的 信息 进行 比较 ,该 动作 是 在 操作 系统 的 内 核 中 完成 的 ,因此 增加 了 安 
全 性 。 一 个 典型 的 例子 是 ,静态 包 过 滤 无 法 区 分 一 个 外 部 用 户 进入 的 包 与 一 个 内 部 用 户 出 
去 后 回来 的 包 的 不 同 ,动态 包 过 滤 防 火 墙 就 知道 。 动 态 包 过 滤 防 火 墙 可 以 限制 外 部 用 户 访 
问 内 部 ,但 保证 内 部 用 户 可 以 访问 外 部 ,而 且 可 以 回来 。 

当 一 个 包 是 属于 一 个 已 经 建立 连接 时 ,防火 墙 不 作 进一步 检查 就 可 以 放行 这 个 包 。 通 
过 占有 部 分 系统 内 存 , 减 少 了 包 的 检查 工作 量 , 因 此 ,动态 包 过 滤 的 性 能 有 一 定 程度 的 增加 。 

和 静态 包 过 滤 机 制 比较 ,动态 包 过 滤 技术 可 以 支持 对 称 多 处 理 系统 (symmetrical muti- 
processing,SMP) 和 多 CPU 系统 ,可 以 取得 更 高 的 速度 和 性 能 。 例 如 ,在 基于 TCP 协议 的 
连接 中 ,每 个 包 在 传输 时 都 包括 了 IP 源 地 址 .目的 地 址 、 源 端口 和 目的 端口 等 信息 ,还 包括 
了 对 在 允许 的 时 间 间 隔 内 是 否 发 生 了 TCP 握手 消息 的 监视 信息 等 。 这 些 信息 与 每 个 数据 
包 都 是 有 关联 的 。 换 名 话说 ,对 于 属于 同一 个 连接 的 数据 包 来 说 并 不 是 完全 孤立 的 ,它们 存 
在 内 部 的 关联 信息 。 无 连接 的 包 过 滤 规 则 没有 考虑 这 些 内 在 的 关联 信息 ,而 是 对 每 个 数据 
包 都 进行 孤立 的 规则 检测 ,这样 就 降低 了 传输 效率 和 安全 性 。 

值得 一 提 的 是 ,对 于 基于 UDP ICMP 协议 的 应 用 来 说 ,很 难 用 简单 的 包 过 滤 技 术 进 行 
处 理 , 因 为 UDP 协议 本 身 对 于 顺序 错误 或 丢失 的 包 , 不 做 纠 错 或 重 传 。 而 ICMP 与 IP 位 于 
同一 层 , 它 被 用 来 传送 IP 的 差错 和 控制 信息 。 现 在 的 一 些 包 过 滤 防 火 墙 在 对 基于 UDP 协 
议 的 连接 处 理 时 ,会 为 UDP 建立 虚拟 的 连接 ,同样 能 够 对 连接 过 程 状态 进行 监控 。 通 过 规 
则 与 连接 状态 的 共同 配合 ,达到 包 过 滤 的 高 效 与 安全 。 因 此 能 够 实现 对 UDP ICMP 协议 
的 实时 状态 监控 。 这 种 实时 的 动态 过 滤 技 术 使 防火 墙 增强 了 防御 能 力 ,降低 了 黑客 攻击 的 
成 功率 ,从 而 提高 了 系统 的 性 能 和 安全 性 。 另 外 ,现在 包 过 滤 技术 逐渐 从 一 种 被 动 的 规则 检 
查 方 式 变 为 多 级 并 行 或 串 行 ,或 者 串 并 行 混合 的 复杂 检查 方式 ,例如 入 侵 检 测 与 防火 墙 
互动 。 

对 于 一 个 大 型 网 络 ,定义 包 过 滤器 规则 是 一 项 复杂 的 工作 ,因为 网 管 员 需 要 详细 地 了 解 
Internet 的 各 种 服务 .包头 格式 和 他 们 在 希望 每 个 域 查找 的 特定 的 值 。 如 果 必 须 支持 复杂 
的 过 滤 要 求 , 则 过 滤 规 则 集 可 能 会 变 得 很 长 和 很 复杂 ,从 而 很 难 管理 。 存 在 几 种 自动 测试 软 
件 ,被 配置 到 Router 上 后 即 可 校 验 过 滤 规 则 。 一 般 来 说 ,吞吐 量 随 过 滤器 数量 的 增加 而 减 
少 。 如 果 包 过 滤 须 对 每 个 包 执行 所 有 过 滤 规 则 的 话 ,这 可 能 消耗 CPU 的 资源 ,并 影响 一 个 
完全 饱和 的 系统 性 能 。 

下 面 给 出 一 个 包 过 滤 的 示例 ,网 络 拓扑 如 图 8. 43 所 示 。 

在 图 8. 43 所 示 网 络 中 ,内 部 网 地 址 为 192. 168. 0.0/24, 保 驹 主机 中 与 内 部 网 络 相 连 的 
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堡 又 主机 外 部 
南部 网 织 ] Eth0: 10.11.12.13【 网 络 
| 


1 
Eth1: 192.168.0.0/24 
图 8.43 包 过 滤 示 例 


网 卡 接口 为 Eth1 ,地 址 为 192. 168. 0. 1 ,外 网 相连 的 网 卡 接口 为 Eth0, 地 址 为 10. 11. 12. 13， 
DNS 服务 器 的 地 址 为 10. 11. 15.4。 其 中 ,堡垒 主机 为 安装 了 多 个 网 络 接口 并 配置 了 路 由 器 
功能 的 计算 机 ,在 系统 中 承担 防火 墙 的 功能 。 假 设 系 统 要 求 允许 内 网 所 有 主机 能 访问 外 网 
的 WWW 和 FTP 服务 ,外 网 不 能 访问 内 部 主机 , 则 堡垒 主机 上 的 包 过 滤 规 则 配置 如 下 。 


Set internal = 192.168.0.0/24 

Deny ip from $internal to any in via eth0 

Deny ip from not $internal to any in via ethl 

Allow udp from $internal to any dns 

Allow udp from any dns to $internal 

Allow tcp from any to any established 

Allow tcp from $internal to any www in via ethl 
Allow tcp from $internal to any ftp in via ethl 
Allow tcp from any ftp-data to $internal in via eth0 


2. 代理 技术 


如 8.3.2 节 中 所 述 , 代 理 技术 指 的 是 应 用 代理 或 代理 服务 器 技术 ,可 具体 为 一 个 代理 内 
部 网 络 用 户 与 外 部 网 络 服务 器 进行 信息 交换 的 程序 。 它 将 内 部 用 户 的 请 求 确认 后 送 达 外 部 
服务 器 ,同时 将 外 部 服务 器 的 响应 再 回 送 给 用 户 。 

代理 服务 器 又 称 应 用 程序 网 关 , 它 可 以 屏蔽 内 部 网 的 细节 .使 非法 用 户 无 法 探知 内 部 网 
络 的 结构 。 它 能 够 屏蔽 某 些 特殊 的 命令 ,禁止 用 户 使 用 容易 造成 攻击 的 不 安全 的 命令 ,从 而 
抵御 攻击 。 同 时 ,代理 服务 器 还 能 够 过 滤 非 安全 脚本 ,如 ActiveX Java Applet Java Script 
及 进行 邮件 过 滤 。 

现在 的 一 些 包 过 滤 防 火 墙 中 对 FTP、TELNET、HTTP、SMTP、POP3 和 DNS 等 应 用 
实现 了 代理 服务 。 这 些 代理 服务 对 用 户 是 透明 的 , 即 用 户 意识 不 到 防火 墙 的 存在 便 可 完成 
内 外 网 络 的 通信 。 当 内 部 用 户 需要 使 用 透明 代理 访问 外 部 资源 时 ,用 户 不 需要 进行 设置 , 代 
理 服务 器 会 建立 透明 的 通道 ,让 用 户 直 接 与 外 界 通信 ,这 样 极 大 地 方便 了 用 户 的 使 用 ,避免 
使 用 中 的 错误 ,降低 使 用 防火 墙 时 国有 的 安全 风险 和 出 错 概率 。 

现在 的 一 些 包 过 滤 防 火 墙 的 代理 服务 器 提供 了 对 连接 流量 的 控制 功能 ,系统 管理 员 可 
以 根据 内 部 网 络 的 需要 增 大 或 减少 某 一 代理 FTP、.HTTP、TELNET、SMTP、POP3 和 DNS 
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等 的 流量 ,这 样 能 更 有 效 地 利用 资源 ,也 减轻 了 防火 墙 的 负荷 。 并 且 , 现 在 的 一 些 包 过 滤 防 
火 墙 采用 了 多 线程 多 连接 技术 ,使 系统 可 以 对 出 和 防火墙 的 所 有 应 用 层 连 接 进行 统一 的 管 
理 , 处 理 速度 快 ,处 理 进 程 多 ,保证 了 系统 的 高 效 性 。 


3. 网 络 地 址 转换 技术 


网 络 地 址 转换 (network address translation, NAT) 可 以 对 外 部 网 络 隐 藏 内 部 的 网 络 结 
构 ,使 得 外 部 攻击 者 无 法 确定 内 部 计算 机 的 连接 状态 。NAT 功能 通常 被 集成 到 路 由 器 、 防 
火 墙 中 。NAT 设备 维护 一 个 状态 表 , 用 来 把 内 部 私有 IP 地 址 映射 到 因特网 的 公共 地 址 上 。 
每 个 IP 包 在 NAT 设备 中 都 被 翻译 成 因特网 IP 地 址 发 往 下 一 级 ,该 数据 包 像 正常 的 数据 
包 一 样 在 网 络 上 进行 转发 ,直到 目的 地 。 当 IP 数据 包 返 回 时 ,经 过 NAT 设备 再 次 进行 地 
址 转换 ,将 公 网 地 址 翻译 为 最 初 的 私有 地 址 转发 给 正确 的 内 部 主机 。 

如 图 8. 44 所 示 , 内 部 主机 192. 168. 0. 2 使 用 其 私有 地 址 访问 因特网 ,在 防火 墙 上 启动 
了 NAT 功 能 后 ,该 内 部 私有 地 址 被 防火 墙 蔡 换 为 202. 112. 136. 196 ,以 这 个 公 网 地 址 作为 
源 地 址 的 IP 包 被 转发 到 目标 地 址 ,从 目标 地 址 回来 的 数据 包 再 次 被 NAT 设备 (防火 墙 ) 翻 
译 为 192. 168. 0. 2 转发 给 该 内 部 主机 。 


192.168.0.2 人 人 


192.168.0.1 
NAT 防 火 墙 
202.112.136.196( 因 特 网 地 址 ) 


图 8.44 使 用 NAT 的 网 络 示例 


在 图 8. 44 中 ,网 络 地 址 转换 的 详细 工作 过 程 如 图 8. 45 所 示 , 其 地 址 转换 过 程 描 述 
如 下 。 

Q@ 内 部 主机 使 用 内 部 地 址 192. 168. 0. 2 向 因特网 上 的 主机 128. 119. 40. 186 的 80 号 
端口 发 送 数 据 包 , 该 数据 包 首 先 发 往 主机 的 默认 网 关 192. 168. 0. 1。 

@ 默认 网 关上 事先 配置 了 NAT, 指 明 内 部 地 址 为 192. 168. 0. 2 的 主机 使 用 202. 112. 
136. 196 这 个 因特网 合法 地 址 访问 因特网 。 网 关 接 收 来 自 192. 168. 0. 2 的 数据 包 后 ,对 该 
数据 包 进 行 地 址 转换 ,把 源 地 址 和 端口 号 替换 为 202. 112. 136. 196: 5001。 同 时 ,在 NAT 
转换 表 中 为 该 数据 包 建立 一 条 NAT 记录 ,其 中 指明 了 内 部 地 址 、 端 口号 及 对 应 的 外 部 地 址 
(因特网 地 址 ) 及 端口 号 ,此 例 中 分 别 为 192. 168. 0.2: 2345 及 202. 112. 136. 196: 5001。 随 
后 ,该 数据 包 被 转发 到 因特网 上 。 


NAT 转 换 表 


WAN side addr LAN side addr 


202.112.136.196,5001 192.168.0.2,3345 


S:192.168.0.2.3345 
D:128.119.40.186.80 192.168.0.2 
©® 【 S:202.112.136.196.5001 192.168.0.1 
D:128.119.40.186.80 O 
NS 192.168.0.3 
5:128.119.40.186,80 | 四 
D:192.168.0.2.3345 
S:128.119.40.186.80 ® 192.168.0.4 
D:202.112.136.196,5001 


图 8.45 NAT 的 工作 原理 及 工作 过 程 示 意图 


@ 因特网 上 的 目标 主机 128. 119. 40. 186 对 请 求 数据 包 进 行 应 答 ,应答 数据 包 的 目标 
地 址 为 202. 112. 136. 196。 

@ 网 关 根 据 @ 中 的 NAT 记录 ,将 应 答 数据 包 的 目标 地 址 和 端口 号 替换 为 最 初 的 值 , 即 
192. 168. 0.2: 2345。 该 数据 包 被 转发 到 内 部 主机 上 。 


4. 其 他 相关 技术 


Q@ 加 密 技术 。 网 络 上 传输 信息 的 私有 性 和 完整 性 可 以 用 加 密 技术 解决 。 在 应 用 中 , 它 应 
该 包括 三 个 部 分 : 加 密 算 法 的 选择 ,信息 确认 算法 的 选择 及 产生 和 分 配 密 钥 的 密 钥 管理 协议 。 

@ 安全 审计 。 绝 对 的 安全 是 不 可 能 的 ,因此 必须 对 网 络 上 发 生 的 事件 进行 记载 和 分 
析 , 对 某 些 被 保护 网 络 的 敏感 信息 访问 保持 不 间断 的 记录 ,并 通过 各 种 不 同类 型 的 报表 、 告 
警 等 方式 向 系统 管理 人 员 进 行 报告 。 比 如 在 防火 墙 的 控制 台 上 实时 显示 与 安全 有 关 的 信 
息 、 对 用 户 密码 非法 或 非法 访问 进行 动态 跟踪 等 。 

@ 安全 内 核 。 除 了 代理 服务 器 以 外 ,人 们 开始 在 操作 系统 的 层次 上 考虑 安全 性 。 例 如 
考虑 把 系统 内 核 中 可 能 引起 安全 问题 的 部 分 从 内 核 中 去 除 ,形成 一 个 安全 等 级 更 高 的 内 核 ， 
从 而 使 系统 更 安全 ,如 Cisco 的 PIX 防火 墙 等 。 

@ 身份 认证 。 目前 ,一 般 防火 墙 主要 提供 如 下 认证 方法 。 

。 用 户 认 证 (user authentication,UA): 防火 墙 设 定 可 以 访问 内 部 网 络 资源 的 用 户 访 

问 权 限 。 

。 客户 认证 (client authentication,CA): 防火 墙 提供 特定 用 户 端 授权 用 户 特 定 的 服务 

权限 。 
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。 会 话 认证 (session authentication,SA): 防火 墙 提供 通信 双方 每 次 通信 时 透明 的 会 
话 授权 机 制 。 
@ 负载 平衡 (overload balance)。 平衡 服务 器 的 负载 ,由 多 个 服务 器 为 外 部 网 络 用 户 提 
供 相 同 的 应 用 服务 。 当 外 部 网 络 的 一 个 服务 请 求 到 达 防 火 墙 时 ,防火 墙 可 以 用 其 制定 的 平 
衡 算法 确定 请 求 由 哪 台 服务 器 来 完成 。 但 对 用 户 来 讲 , 这 些 都 是 透明 的 。 


8.3.4 防火 墙 应 用 模式 


1. 多 穴 主 机 模式 


多 穴 主 机 (multihomed host) 防 火 墙 ,顾名思义 , 它 用 一 台 拥 有 两 块 或 两 块 以 上 网 卡 的 
主机 (该 主机 称 为 堡垒 主机 ) 作 为 防火 墙 ,网 卡 分 别 连 接 到 物理 和 逻辑 上 都 分 离 的 不 同 网 段 
上 ,从 逻辑 上 使 一 个 子 网 与 其 他 子 网 ,内 部 网 与 外 部 网 之 间 不 能 进行 直接 通信 ,从 而 起 到 保 
护 自身 不 受 入 侵 的 目的 。 

使 用 双 穴 和 多 穴 主机 的 防火 墙 系统 的 示意 图 分 别 如 图 8. 46 和 图 8. 47 所 示 。 


堡垒 主机 


Eth0:10.11.12.13| 
最 少 服务 
最 小 特权 
Eth1;192.168.0.0/24 


图 8.46 双 穴 主机 模式 


立 | 
Eth0:10.11.12.13| 外 小 


图 8.47 多 穴 主机 模式 


该 防火 墙 的 特点 是 多 穴 主机 内 外 的 网 络 均 可 以 与 其 进行 通信 ,但 内 外 网 络 之 间 是 不 能 
直接 进行 通信 的 。 

多 穴 主机 防火 墙 的 几 个 关键 点 如 下 。 

(1) 多 六 主机 的 IP 转发 功能 必须 禁止 
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如 果 多 穴 主机 的 IP 转发 功能 有 效 ,那么 外 部 的 数据 包 就 可 能 绕 过 双 穴 主机 防火 墙 进入 
内 部 网 络 。 多 穴 主 机 可 以 通过 代理 或 让 用 户 直 接 注册 到 其 上 的 做 法 提供 内 部 和 外 部 网 络 之 
间 的 通信 ,同时 提供 较 高 程度 的 安全 控制 能 力 。 因 此 , 堡 驹 主机 上 一 般 安装 代理 服务 器 或 保 
存 用 户 的 登录 账号 信息 。 

(2) 多 六 主机 的 本 机 安全 至 关 重要 

多 穴 主 机 是 外 部 网 络 用 户 进 入 内 部 网 络 的 唯一 通道 ,也 是 隔 开 外 部 网 络 和 内 部 网 络 的 
唯一 屏障 。 为 了 保证 内 部 网 络 的 安全 ,多 穴 主机 上 应 具有 身份 认证 系统 ,以 阻挡 来 自 外 部 不 
可 信任 节点 的 非法 登录 。 它 的 用 户 密码 控制 是 一 个 关键 ,如 果 入 侵 者 得 到 了 多 穴 主 机 的 控 
制 权 ,内 部 网 络 就 会 被 轻松 地 侵入 。 

(3) 多 穴 主 机 必须 具备 较 好 的 性 能 

由 于 多 穴 主机 是 外 部 用 户 访问 内 部 网 络 系统 的 中 间 转 接点 ,所 以 它 必 须 支 持 很 多 用 户 
的 访问 ,因此 多 穴 主机 的 性 能 非常 重要 。 

(4) 多 穴 主 机 防火 墙 上 的 用 户 账号 数目 要 尽量 少 

因为 用 户 的 行为 是 不 可 预知 的 ,如 果 多 穴 主 机 上 有 很 多 用 户 账 号 ,这 会 给 入 侵 检 测 带 来 
很 大 的 麻烦 。 用 户 账 号 的 存在 会 给 入 侵 者 提供 相对 容易 的 入 侵 通 道 , 每 一 个 账号 通常 有 一 
个 可 重复 使 用 的 密码 ,这 样 很 容易 被 入 侵 者 破解 。 破 解密 码 的 方法 有 很 多 ,比如 字典 破解 、 
强行 搜索 或 通过 网 络 窃听 来 获得 。 另 外 ,如 果 账 号 太 多 ,管理 维护 起 来 也 是 很 费劲 的 ,同时 
还 会 降低 机 器 本 身 的 稳定 性 和 可 靠 性 。 

多 穴 主机 防火 墙 有 一 个 致命 弱点 ,一旦 入 侵 者 侵入 堡垒 主机 并 使 该 主机 具有 路 由 器 功 
能 , 则 任何 网 上 用 户 均 可 以 随便 访问 有 保护 的 内 部 网 络 。 


2. 主机 屏蔽 模式 

如 图 8. 48 所 示 ,主机 屏蔽 防火 墙 的 构成 与 包 过 滤 防 火 墙 ,多 穴 主机 防火 墙 不 同 , 它 由 一 
台 堡 又 主机 和 一 台 屏 项 路 由 器 组 成 。 主 机 屏蔽 防火 墙 实现 了 网 络 层 安全 ( 包 过 滤 ) 和 应 用 层 
安全 ( 保 垒 主机 的 代理 服务 ) ,所 以 人 侵 者 在 破坏 内 部 网 络 的 安全 性 之 前 ,必须 首先 渗透 两 种 
不 同 的 安全 系统 。 


包 过 滤 路 由 器 外 部 


堡垒 主机 


图 8.48 主机 屏蔽 模式 


第 8 章 企业 级 安全 技术 293 


主机 屏蔽 防火 墙 模式 中 ,提供 安全 保护 的 堡垒 主机 仅 与 内 部 网 络 相连 , 另 有 一 台 过 滤 路 
由 器 连通 内 部 和 外 部 网 络 。 任 何 来 自 外 部 网 络 的 连接 都 限制 在 这 人 台 堡 公主 机 上 ,内 部 网 向 
外 的 访问 可 能 通过 该 堡垒 主机 (例如 在 堡垒 主机 上 安装 代理 服务 器 ) ,也 可 能 直接 经 过 路 由 
器 ,这 要 取决 于 本 地 网 络 的 安全 策略 。 

通常 在 路 由 器 上 建立 过 滤 规 则 ,并 使 堡垒 主机 成 为 从 Internet 唯一 可 以 被 访问 的 主机 ， 
确保 内 部 网 络 不 受 未 被 授权 的 外 部 用 户 的 攻击 。 人 堡垒 主机 作为 防火 墙 结构 的 关键 点 ,必须 
具有 很 高 的 安全 性 。 因 此 ,堡垒 主机 上 应 该 只 运行 必要 的 、 经 过 安全 改造 的 软件 ,并 具有 严 
格 的 审计 功能 。 

堡垒 主 机 是 一 种 被 强化 的 可 以 防御 进攻 的 计算 机 ,所 谓 被 强化 ,是 指 它 拥 有 较为 完善 的 
自身 保护 设置 。 这 些 设 置 基于 两 条 原则 : 一 是 最 简化 原则 , 即 在 堡垒 主机 上 设置 的 服务 必 
须 尽 可 能 的 少 ,而 且 对 于 不 得 不 设置 的 服务 ,还 要 给 予 尽 可 能 低 的 权限 。 因 为 在 堡垒 主机 上 
运行 的 各 种 软件 不 可 能 不 存在 安全 缺陷 ,而 越 是 复杂 的 程序 ,就 越 可 能 含有 安全 缺陷 。 因 此 
只 有 采用 最 简化 原则 ,才能 尽 可 能 地 减少 堡垒 主机 的 缺陷 ,使 得 堡垒 主机 更 加 安全 。 二 是 预 
防 原 则 ,也 就 是 说 在 堡垒 主 机 万 一 被 攻破 的 情况 发 生 时 能 够 及 时 地 修复 它 ,以 减少 损失 。 为 
此 就 需要 加 强 对 堡垒 主机 的 安全 监测 。 

根据 实际 部 署 的 需要 ,堡垒 主机 可 以 是 单 穴 主机 (如 图 8. 49 所 示 ) ,也 可 以 是 多 穴 主 机 


(如 图 8. 50 所 示 ) 。 


外 部 网 络 


Switch orhub 


包 过滤 路 由 器 


1 
1 
-3 
+ 
1 
1 
1 
1 
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客户 机 


内 部 网 络 “屏蔽 主机 网 关 ( 单 穴 堡垒 主机 ) 
图 8. 49 主机 屏蔽 实现 方法 1 


1 
Switch orhub 
1 
1 | | 包 过 滤 路 由 器 
1 
1 
上 


外 部 网 络 


四 堡垒 主机 
客户 机 (运行 代理 服务 ) 


内 部 网 络 屏蔽 主机 网 关 ( 双 穴 堡垒 主机 ) 
图 8. 50 主机 屏蔽 实现 方法 2 
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3. 屏蔽 子 网 模式 


如 图 8. 51 所 示 , 子 网 屏蔽 防火 墙 是 指 在 内 部 网 络 和 外 部 网 络 之 间 增 加 一 个 子 网 作为 防 
火 墙 , 用 以 保障 内 部 网 络 的 安全 。 该 屏蔽 子 网 又 称 为 非 军事 区 (de-militarized zone, DMZ)， 
或 称 周 界 网 络 (perimeter network)。 


一 一 ”堡垒 主机 


内 部 路 由 器 


| 


一 一 + 外 部 路 由 器 外 部 


网 络 
边 
网 


图 8.51 屏蔽 子 网 模式 


在 最 简单 的 屏蔽 子 网 模式 中 ,使 用 两 台 过 滤 路 由 器 : 一 台 位 于 过 滤 子 网 与 内 部 网 之 间 ， 
男 一 台 位 于 过 滤 子 网 与 外 部 网 之 间 。 这 样 , 整 个 防火 墙 就 不 会 因 一 点 被 攻破 而 瘫痪 。 

屏蔽 子 网 模式 在 Intranet 和 Internet 之 间 建 立 一 个 被 隔离 的 子 网 ,用 两 个 包 过 滤 路 由 
器 将 这 一 子 网 分 别 与 Intranet 和 Internet 分 开 。 两 个 包 过 滤 路 由 器 放 在 子 网 的 两 端 ,在 子 
网 内 构成 一 个 “缓冲 地 带 ”( 如 图 8. 51 所 示 ) ,两 个 路 由 器 一 个 控制 Intranet 数据 流 , 另 一 个 
控制 Internet 数据 流 ,Intranet 和 Internet 均 可 访问 屏蔽 子 网 .但 禁止 它们 穿 过 屏蔽 子 网 通 
信 。 可 根据 需要 在 屏蔽 子 网 中 安装 堡 公主 机 ,为 内 部 网 络 和 外 部 网 络 的 互相 访问 提供 代理 
服务 ,但 是 来 自 内 部 和 外 部 网 络 的 访问 都 必须 通过 两 个 包 过 滤 路 由 器 的 检查 。 对 于 向 
Internet 公开 的 服务 器 ,如 WWW、FTP 和 SMTP 等 Internet 服务 器 也 可 安装 在 屏蔽 子 网 
内 ,这 样 无 论 是 外 部 用 户 ,还 是 内 部 用 户 都 可 以 访问 。 

根据 DMZ 的 组 成 可 以 知道 , 子 网 屏蔽 防火 墙 支持 网 络 层 和 应 用 层 安 全 功能 ,这 和 主机 
屏蔽 防火 墙 相同 。 就 安全 性 来 讲 ,一 般 认 为 子 网 屏蔽 防火 墙 的 安全 等 级 要 比 主机 屏蔽 防火 
墙 高 些 。 因 为 在 主机 屏蔽 防火 墙 中 内 部 网 对 堡垒 主机 来 讲 是 完全 公开 的 ,如 果 和 人 侵 者 一 旦 
破坏 了 堡垒 主机 这 层 保护 ,那么 人 侵 就 成 功 了 。 而 子 网 屏蔽 防火 墙 结构 是 在 主机 屏蔽 防火 
墙 结构 中 再 增加 一 台 过 滤 路 由 器 ,这 人 台 路 由 器 的 意义 就 在 于 它 能 够 在 内 部 网 和 外 部 网 之 间 
构筑 出 一 个 安全 子 网 一 一 DMZ, 这 就 给 内 部 网 和 外 部 网 络 之 间 增加 了 一 层 保护 。 如 果 入 侵 者 
只 侵入 到 DMZ 子 网 中 的 堡垒 主机 .那么 他 只 能 看 到 DMZ 中 的 信息 流 , 而 看 不 到 内 部 网 络 中 的 


第 8 章 企业 级 安全 技术 295 


信息 流 。 虽 然 内 部 网 络 上 的 数据 包 在 内 部 网 络 上 是 广播 式 的 ,但 内 部 过 滤 路 由 器 会 阻止 这 些 
数据 包 流 入 到 DMZ 子 网 中 。 因 此 即使 堡垒 主机 受到 损害 也 不 会 危及 到 内 部 网 络 的 安全 。 

屏蔽 子 网 模式 限制 了 外 部 用 户 在 内 部 网 络 中 和 内 部 用 户 在 外 部 网 络 中 的 漫游 能 力 , 就 
像 复 杂 地 形 之 间 的 开阔地 带 , 因 而 称 为 缓冲 带 或 非 军 事 区 ,所 以 这 种 防火 墙 结构 又 称 为 
DMZ 方式 。 

可 以 基于 子 网 屏蔽 防火 墙 的 基本 配置 进行 各 种 变化 组 合 , 简 述 如 下 。 

(1) 合并 DMZ 的 外 部 路 由 器 和 堡垒 主机 

如 图 8. 52 所 示 ,这 种 结构 是 用 多 穴 主 机 来 执行 原来 外 部 路 由 器 的 功能 。 对 于 WAN 速 
度 不 高 的 情况 下 ,多 穴 主 机 能 够 胜任 外 部 路 由 器 的 工作 ,只 是 这 样 多 穴 主 机 就 被 完全 暴露 在 
Internet 上 ,因此 要 更 加 小 心地 保护 它 。 


内 部 节点 


内 部 节点 


图 8.52 合并 DMZ 的 外 部 路 由 器 和 堡垒 主机 


(2) 合并 DMZ 的 内 部 路 由 器 和 外 部 路 由 器 
如 图 8. 53 所 示 ,这 种 结构 同 主机 屏蔽 防火 墙 一样 ,路 由 器 容易 受到 损害 。 


Gam) 一 -每 本 外 部 网 络 
过 滤 路 由 器 


堡垒 主机 
图 8.53 合并 DMZ 的 内 部 路 由 器 和 外 部 路 由 器 


(3) 多 堡垒 主机 结构 

用 户 在 DMZ 中 使 用 多 人 台 堡 又 主机 ,以 提供 不 同 的 服务 。 

(4) 多 外 部 路 由 器 结构 

连接 多 个 外 部 路 由 器 ,使 得 内 部 网 络 在 一 个 外 部 路 由 器 受到 损害 的 情况 下 不 会 受到 什 
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么 特别 威胁 。 

(5) 其 他 结构 

例如 ,可 以 设置 多 个 DMZ, 使 每 个 DMZ 都 连接 不 同 的 外 部 网 络 , 但 都 连接 同一 个 内 部 
网 络 。 这 种 结构 风险 小 ,但 维护 相对 困难 。 


8.4 入 侵 检测 系统 


入 侵 检测 (intrusion detection) 是 指 通过 从 计算 机 网 络 或 计算 机 系统 中 若干 关键 点 收集 
信息 并 对 其 进行 分 析 , 从 中 发 现 网 络 或 系统 中 是 否 有 违反 安全 策略 的 行为 和 遭 到 攻击 的 迹 
象 ,同时 做 出 响应 的 安全 技术 。 

入 侵 检 测 作为 动态 安全 技术 的 核心 技术 之 一 ,是 防火 墙 的 合理 补充 ,也 是 安全 防御 体系 
的 一 个 重要 组 成 部 分 。 通 过 入 侵 检 测 系统 的 部 署 可 以 扩展 系统 管理 员 的 安全 管理 能 力 ( 包 
括 安全 审计 ,监视 .进攻 识别 和 响应 ) ,帮助 系统 监测 和 防范 网 络 攻击 ,提高 信息 安全 基础 结 
构 的 完整 性 。 

入 侵 检测 技术 的 诞生 是 网 络 安全 需求 发 展 的 必然 。 关 于 入 侵 检测 的 发 展 历史 最 早 可 追 
漳 到 1980 年 ,当时 James P.，Anderson 在 一 份 技术 报告 中 提出 审计 记录 可 用 于 检测 计算 机 
误 用 行为 的 思想 ,这 是 入侵 检测 的 开创 性 的 先河 。 另 一 位 对 入 侵 检测 同样 起 着 开创 作用 的 
人 是 Dorothy E. Denning ,他 在 1987 年 提出 了 实时 入 侵 检测 系统 模型 ,此 模型 成 为 后 来 的 
入 侵 检测 研究 和 系统 原型 的 基础 。 

入 侵 检测 发 展 史上 又 一 个 具有 重要 意义 的 里 程 碑 是 NSM(network security monitor) 
的 出 现 , 它 是 由 L. Todd Heberlien 在 1990 年 提出 的 。NSM 与 此 前 的 入 侵 检测 系统 相 比 ， 
其 最 大 的 不 同 在 于 它 并 不 检查 主机 系统 的 审计 记录 ,而 是 通过 监视 网 络 的 信息 流量 来 跟踪 
可 疑 的 入 侵 行 为 。 


8.4.1 入 侵 检测 概述 


从 计算 机 安全 的 目标 来 看 ,入 侵 的 定义 是 : 企图 破坏 资源 的 完整 性 .保密 性 .可 用 性 的 
任何 行为 ,也 指 违背 系统 安全 策略 的 任何 事件 。 入 侵 行为 不 仅 是 指 来 自 外 部 的 攻击 ,同时 内 
部 用 户 的 未 授权 行为 也 是 一 个 重要 的 方面 ,内 部 人 员 滥 用 特权 的 攻击 会 对 系统 造成 重大 安 
全 隐患 。 从 入 侵 策略 的 角度 来 看 ,入 侵 可 分 为 企图 进入 冒充 其 他 合法 用 户 .成 功 奖 入 合法 
用 户 的 泄露 .拒绝 服务 及 恶意 使 用 等 几 个 方面 。 

如 图 8. 54 所 示 ,入侵 检 测 的 一 般 过 程 是 : 信息 收集 ,信息 (数据 ) 预 处 理 、 数 据 的 检测 分 
析 、 根 据 安全 策略 做 出 响应 。 

其 中 ,信息 源 是 指 包 含有 最 原始 的 入 侵 行 为 信息 的 数据 ,主要 是 网 络 、 系 统 的 审计 数据 
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图 8.54 入 侵 检测 的 一 般 过 程 
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或 原始 的 网 络 数据 包 。 数 据 预 处 理 是 指 对 收集 到 的 数据 进行 预 处 理 , 将 其 转化 为 检测 模型 
所 接受 的 数据 格式 ,包括 对 宛 余 信 息 的 去 除 , 即 数据 简约 。 这 是 入 侵 检测 研究 领域 的 关键 ， 
也 是 难点 之 一 。 检 测 模型 是 指 根据 各 种 检测 算法 建立 起 来 的 检测 分 析 模 型 , 它 的 输入 一 般 
是 经 过 数据 预 处 理 后 的 数据 ,输出 为 对 数据 属性 的 判断 结果 ,数据 属性 一 般 是 针对 数据 中 包 
含 的 入 侵 信 息 的 断言 。 

检测 结果 即 检测 模型 输出 的 结果 ,由 于 单一 的 检测 模型 的 检测 率 不 理想 ,往往 需要 利用 
多 个 检测 模型 进行 并 行 分 析 处 理 , 然 后 对 这 些 检测 结果 进行 数据 融合 处 理 , 以 达到 满意 的 效 
果 。 安 全 策略 是 指 根据 安全 需求 设置 的 策略 。 响 应 处 理 主 要 是 指 综合 安全 策略 和 检测 结果 
所 做 出 的 响应 过 程 ,包括 产生 检测 报告 .通知 管理 员 , 断 开 网 络 连接 或 更 改 防火 墙 的 配置 等 
积极 的 防御 措施 。 

为 解决 人 侵 检 测 系 统 之 间 的 互 操作 性 ,国际 上 的 一 些 研究 组 织 开 展 了 入 侵 检 测 模型 等 
相关 技术 的 标准 化 工作 ,目前 对 IDS 进行 标准 化 工作 的 有 两 个 组 织 : IETF 的 Intrusion 
Detection Working Group(IDWG) 和 Common Intrusion Detection Framework(CCIDF) 。 

CIDF 早期 由 美国 国防 部 高 级 研究 计划 局 赞助 研究 ,现在 由 CIDF 工作 组 负责 ,是 一 个 
开放 组 织 。 

入 侵 检 测 系统 是 实现 人 侵 检测 功能 的 一 系列 的 软件 .硬件 的 组 合 。 它 是 入 侵 检 测 的 具 
体 实 现 。 作 为 一 种 安全 管理 工具 , 它 从 不 同 的 系统 资源 收集 信息 ,分析 反映 误 用 或 异常 行为 
模式 的 信息 ,对 检测 的 行为 做 出 自动 的 反应 ,并 报告 检测 过 程 的 结果 。 

一 般 而 言 ,入 侵 监 测 系统 的 主要 功能 应 包括 如 下 方面 。 

J@ 监视 分析 用 户 及 系统 的 活动 。 

@ 检查 系统 配置 及 存在 的 漏洞 。 

@ 评估 系统 关键 资源 和 数据 的 完整 性 。 

@ 识别 已 知 的 攻击 行为 。 

加 统计 分 析 异 常 行为 。 

@ 管理 系统 日 志 , 并 识别 违反 用 户 安全 策略 的 行为 。 

为 了 达到 上 述 目 标 , 入 侵 检 测 系 统 至 少 应 包括 以 下 几 个 功能 部 件 。 

@ 提供 事件 记录 的 信息 源 。 

@@ 发 现 人 侵 迹 象 的 分 析 引 擎 。 

@ 基于 分 析 引 擎 的 结果 产生 反应 的 响应 部 件 。 
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入 侵 检测 系统 就 其 最 基本 的 形式 来 讲 , 可 以 说 是 一 个 分 类 器 , 它 是 根据 系统 的 安全 策略 
来 对 收集 到 的 事件 或 状态 信息 进行 分 类 处 理 ,从 而 判断 出 入 侵 和 非 入 侵 的 行为 。 

一 般 来 说 ,入 侵 检测 系统 在 功能 结构 上 是 基本 一 致 的 , 均 由 数据 采集 、 数 据 分 析 及 响应 
部 件 等 几 个 功能 模块 组 成 ,只 是 具体 的 入 侵 检 测 系统 在 采集 数据 、 采 集 数据 的 类 型 及 分 析 数 
据 的 方法 等 方面 有 所 不 同 而 已 。 但 是 由 于 入 侵 技术 手段 的 不 断 变化 ,使 得 人 侵 检测 系统 必 
须 能 够 维护 一 些 与 检测 系统 的 分 析 技 术 相 关 的 信息 ,以 使 检测 系统 能 够 确保 检测 出 对 系统 
具有 威胁 的 恶意 事件 。 通 常 这 类 信息 有 如 下 几 种 。 

@ 系统 ,用户 及 进程 行为 的 正常 或 异常 的 特征 轮廓 。 

@ 标识 可 疑 事件 的 字符 串 ,包括 关于 已 知 攻击 的 特征 签名 。 

@ 激活 针对 各 种 系统 异常 情况 及 攻击 行为 采取 响应 所 必需 的 信息 。 

作为 新 型 的 安全 防御 体系 的 一 个 重要 组 成 部 分 , 它 的 作用 发 挥 得 充分 与 否 将 在 很 大 程 
度 上 影响 整个 安全 策略 的 成 败 。 其 主要 功能 如 下 。 

Q 用户 和 系统 行为 的 监测 和 分 析 。 

@ 系统 配置 和 漏洞 的 审计 检查 。 

@ 重要 的 系统 和 数据 文件 的 完整 性 评估 。 

图 已 知 的 攻击 行为 模式 的 识别 。 

@ 异常 行为 模式 的 统计 分 析 。 

@ 操作 系统 的 审计 跟踪 管理 及 违反 安全 策略 的 用 户 行为 的 识别 。 

显然 ,入 侵 检测 系统 完善 了 以 前 的 静态 安全 防御 技术 的 诸多 不 足 ,是 对 防火 墙 的 合理 补 
充 , 为 计算 机 网 络 、 系 统 的 安全 防护 提供 了 新 的 解决 方案 。 

同样 ,入 侵 检 测 系统 作为 网 络 安全 发 展 史 上 一 个 具有 划时代 意义 的 研究 成 果 ,要 想 真 正 
成 为 一 种 成 功 的 产品 ,至 少 要 满足 以 下 的 功能 要 求 : 实时 性 .可 扩展 性 .适应 性 .安全 性 和 可 
用 性 、 有 效 性 等 。 


8.4.2 入侵 检 测 系 统 的 分 类 


有 多 种 方法 可 以 对 入 侵 检测 系统 进行 分 类 ,这 里 主要 介绍 两 种 : 一 种 是 根据 入 侵 检 测 
系统 的 输入 数据 来 源 进行 的 分 类 ; 另 一 种 是 根据 入 侵 检测 系统 所 采用 的 技术 进行 的 分 类 。 


1. 按 数 据 来 源 分 类 


入 侵 检 测 系统 的 第 一 步 是 数据 采集 。 根 据 入 侵 检 测 系统 输入 数据 的 来 源 可 以 将 IDS 
分 为 基于 主机 的 人 侵 检 测 系统 和 基于 网 络 的 入侵 检测 系统 。 

(1) 基于 主机 的 人 侵 检 测 系统 

基于 主机 的 人 侵 检测 系统 (host based IDS,HIDS) 通 常 以 系统 日 志 、 应 用 程序 日 志 等 审 
计 记 录 文 件 作 为 数据 源 。 一 般 , HIDS 通过 比较 审计 记录 文件 的 记录 与 攻击 签名 (attack 
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signature, 指 用 一 种 特定 的 方式 来 表示 已 知 的 攻击 模式 ) 来 发 现 它们 是 否 匹 配 。 如 果 匹 配 ， 
检测 系统 就 向 系统 管理 员 发 出 入 侵 告警 。 基 于 主机 的 IDS 可 以 精确 地 判断 入 侵 事 件 ,并 可 
对 入 侵 事件 作出 及 时 反应 。 它 还 可 针对 不 同 操作 系统 的 特点 判断 出 应 用 层 的 入 侵 事 件 。 

利用 主机 数据 源 进 行人 侵 检 测 开 始 并 兴盛 于 20 世纪 80 年 代 , 也 就 是 入 侵 检测 系统 发 
展 的 开始 阶段 。 这 主要 是 由 于 那 时 的 网 络 及 网 络 互 连 还 不 像 现 在 这 样 广泛 和 复杂 ,网 络 操 
作 系 统 也 主要 是 UNIX 系统 。 因 此 ,入 侵 的 主要 手段 是 利用 密码 配置 文件 .远程 访问 配置 
文件 和 网 络 应 用 中 的 无 密码 或 弱 密 码 账 户 侵入 网 络 或 主机 系统 ,利用 SUID 和 GUID 程序 
获取 普通 用 户 和 超级 用 户 的 访问 权限 ,或 是 内 部 人 员 物 理 侵入 主机 系统 进行 违反 安全 策略 
的 活动 。 这 些 人 侵 手 段 通常 会 在 主机 的 审计 日 志文 件 中 留 下 记录 ,或 者 可 以 通过 对 主机 进 
行 基线 检测 来 发 现 , 而 利用 网 络 分 组 流 则 无 法 或 难以 检测 到 这 些 入 侵 。 

目前 ,应 用 日 志文 件 正在 逐渐 引起 人 们 的 关注 ,如 Web 服务 器 日 志文 件 和 数据 库 日 志 
文件 。 早 期 的 入 侵 检 测 系 统 大 多 都 是 基于 主机 的 , 它 具 有 如 下 优势 。 

QO 能够 确定 攻击 是 否 成 功 。 由 于 基于 主机 的 IDS 使 用 包含 有 确实 已 发 生 事件 信息 的 
日 志文 件 作 为 数据 源 , 因 而 比 基 于 网 络 的 IDS 更 能 准确 地 判断 出 攻击 是 否 成 功 。 

@ 适合 于 加 密 和 交换 环境 。 由 于 基于 网 络 的 IDS 是 以 网 络 数据 包 作 为 数据 源 ,因而 对 
于 加 密 环境 难以 实施 入 侵 监 测 。HIDS 则 不 同 , 因 为 所 有 的 加 密 数 据 在 到 达 主 机 之 前 必须 
被 解密 ,这 样 才 能 被 操作 系统 所 解析 ,因此 它 不 受 数据 加 密 的 限制 。 同 时 ,对 于 交换 网 络 来 
讲 , 基 于 网 络 的 IDS 在 获取 网 络 流量 方面 会 面临 很 大 的 挑战 ,但 基于 主机 的 IDS 没有 这 方 
面 的 限制 。 

@ 不 需要 额外 的 硬件 。 基 于 主机 的 IDS 是 驻 留 在 现 有 网 络 基础 设施 之 上 的 ,包括 文件 
服务 器 、Web 服务 器 和 其 他 的 共享 资源 等 . 它 不 需要 增加 新 的 硬件 ,因此 入 侵 监 测 的 实施 成 
本 较 低 。 

@ 可 监视 特定 的 系统 行为 。 基 于 主机 的 IDS 可 以 监视 用 户 和 文件 的 访问 ,包括 文件 访 
问 .文件 权限 的 改变 .试图 建立 新 的 可 执行 文件 和 试图 访问 特权 服务 等 。 例 如 ,基于 主机 的 
IDS 可 以 监视 所 有 的 用 户 登 录 及 注销 情况 ,以 及 每 个 用 户 连接 到 网 络 以 后 的 行为 。 而 基于 
网 络 的 IDS 很 难 做 到 这 一 点 。 由 于 操作 系统 记录 了 任何 有 关 用 户 账号 的 添加 .删除 和 更 改 
等 系统 操作 行为 ,基于 主机 的 IDS 可 以 监视 通常 只 有 管理 员 才 能 实施 的 行为 ,包括 对 系统 
进行 的 不 适当 的 更 改 .影响 系统 日 志 记录 的 策略 的 变化 等 .对 关键 系统 文件 和 可 执行 文件 的 
更 改 等 。 例 如 ,试图 对 关键 的 系统 文件 进行 覆盖 ,或 试图 安装 特洛伊 木马 或 后 门 程序 ,这 些 
操作 都 可 被 检测 出 并 被 终止 。 

基于 主机 的 IDS 也 存在 一 些 不 足 , 例 如 ,占用 主机 的 系统 资源 ,增加 系统 负荷 ,而 且 针 
对 不 同 的 操作 系统 必须 开发 相应 的 应 用 程序 等 。 

(2) 基于 网 络 的 入 侵 检 测 系统 

基于 网 络 的 入 侵 检测 系统 (network based IDS, NIDS) 以 原始 的 网 络 数 据 包 作 为 数据 
源 。 它 利用 网 络 适配器 实时 监视 并 分 析 通 过 网 络 进行 传输 的 所 有 通信 业务 。NIDS 在 进行 
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攻击 识别 时 常用 的 技术 如 下 。 

Qa 模式 、 表 达 式 或 字 节 码 的 匹配 。 

@ 频率 或 阅 值 的 比较 。 

@ 事件 相关 性 处 理 。 

@ 异常 统计 检测 。 

作为 人 侵 检测 技术 发 展 史 上 的 一 个 里 程 碑 , 基 于 网 络 的 IDS 是 网 络 迅 速 发 展 , 攻 击 手 
段 日 趋 复 杂 的 新 的 条 件 下 的 产物 。 和 HIDS 比较 ,NDIS 具有 如 下 特点 和 优势 。 

@ 攻击 者 转移 证 据 困难 。NIDS 使 用 正在 发 生 的 网 络 通信 进行 实时 攻击 检测 ,因此 攻 
击 者 无 法 转移 证 据 , 被 NIDS 捕获 到 的 数据 不 仅 包括 攻击 方法 ,而 且 包 括 对 识别 和 指控 入侵 
者 有 用 的 信息 。 由 于 很 多 黑客 对 系统 的 审计 日 志 比 较 了 解 ,因而 他 们 知道 怎样 更 改 这 些 文 
件 以 藏匿 他 们 的 入 侵 痕迹 ,从 这 方面 看 ,NIDS 不 需要 像 HIDS 那样 依赖 审计 数据 的 完 
整 性 。 

@ 实时 检测 和 应 答 。 一 且 发 生 恶意 的 访问 或 攻击 ,基于 网 络 的 IDS 可 以 随时 发 现 并 迅 
速 做 出 反应 。 这 种 实时 性 使 得 系统 可 以 根据 预先 的 设置 迅速 采取 相应 的 行动 ,从 而 抑制 人 
侵 行 为 对 系统 的 破坏 力 。 而 HIDS 只 有 在 可 疑 的 日 志文 件 产生 后 才能 判断 攻击 行为 ,因此 
实时 检测 能 力 低 于 NIDS。 

@ 能 够 检测 到 未 成 功 的 攻击 企图 。 有 些 攻 击 行 为 是 指 在 针对 防火 墙 后 面 的 资源 的 攻 
击 ( 防 火 墙 本 身 可 能 会 拒绝 这 些 攻 击 企图 ) ,利用 放置 在 防火 墙 外 的 基于 网 络 的 IDS 就 可 以 
检测 到 这 种 企图 ,而 基于 主机 的 IDS 并 不 能 发 现 未 能 到 达 受 防火 墙 保护 的 主机 的 攻击 企 
图 。 通常 ,这 些 信 息 对 于 评估 和 改进 系统 的 安全 策略 是 十 分 重要 的 。 

@ 与 操作 系统 无 关 。NIDS 不 依赖 主机 的 操作 系统 ,而 HIDS 需要 依赖 特定 的 操作 系 
统 才 能 发 挥 作用 。 

@@ 实施 方式 灵活 。NIDS 可 以 部 署 在 网 络 中 的 一 个 或 多 个 关键 访问 点 来 检测 入 侵 行 
为 ,不 需要 安装 在 每 个 主机 上 ,从 而 减少 管理 的 复杂 性 。 同 时 ,NIDS 也 可 以 被 分 布 式 部 署 
和 实施 ,从 而 提供 更 高 的 检测 效率 和 更 强 的 检测 能 力 。 

HIDS 也 存在 一 些 不 足 , 例 如 , 它 只 能 监视 本 网 段 的 网 络 活动 ,并 且 精 确 度 较 差 ; 在 交换 
网 络 环境 中 难于 配置 ; 防止 网 络 欺骗 的 能 力 比较 差 ; 对 于 加 密 环境 无 能 为 力 。 

基于 主机 和 基于 网 络 的 检测 系统 各 有 其 自身 的 优点 和 缺陷 ,有 些 功能 是 不 能 互相 替代 
的 。 现 在 ,综合 利用 两 种 类 型 的 数据 源 以 获得 互补 特性 的 系统 被 称 为 混合 式 入 侵 检测 系统 。 
此 外 ,许多 其 他 类 型 的 数据 源 ,如 防火 墙 系统 、 识 别 和 认证 系统 \ 访 问 控制 系统 及 其 他 安全 设 
备 或 子 系统 产生 的 活动 日 志 , 也 是 未 来 人 侵 检测 系统 可 能 的 数据 来 源 。 但 是 ,由 于 目前 尚 无 
业界 一 致 认可 的 系统 和 标准 ,因此 还 没有 得 到 广泛 的 使 用 。 

此 外 ,分 布 式 人 侵 检测 系统 也 可 以 看 作 是 对 基于 主机 和 基于 网 络 的 入 侵 检测 系统 的 结 
合 , 它 由 多 个 部 件 组 成 ,能 够 同时 分 析 来 自主 机 系统 的 审计 数据 及 来 自 网 络 的 数据 通信 信 
息 。 分 布 式 IDS 将 是 今后 入 侵 检测 系统 的 研究 重点 , 它 是 一 种 相对 完善 的 体系 结构 ,为 日 
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趋 复 杂 的 网 络 环境 下 安全 策略 的 实现 提供 了 较 好 的 解决 方案 。 


2. 按 分 析 技 术 分 类 


从 入 侵 检 测 的 典型 实现 过 程 可 以 看 出 ,数据 分 析 是 人 侵 检测 系统 的 核心 , 它 是 关系 到 能 
和 否 检测 出 入侵 行为 的 关键 。 检 测 率 是 人 们 关注 的 焦点 ,不 同 的 分 析 技 术 所 体现 的 分 析 机 制 
不 同 , 因 而 其 对 数据 分 析 得 到 的 结果 也 不 相同 ,而且 不 同 的 分 析 技 术 对 不 同 的 数据 环境 的 适 
用 性 也 不 一 样 。 根 据 入 侵 检测 系统 所 采用 的 分 析 技 术 , 可 以 将 入 侵 检测 系统 分 为 采用 异常 
检测 的 入 侵 检测 系统 和 采用 误 用 检测 的 入侵 检测 系统 。 

(1) 异常 检测 (anomaly detection) 

异常 检测 也 被 称 为 基于 行为 的 检测 。 其 基本 前 提 是 : 假定 所 有 的 入 侵 行为 都 是 异常 
的 , 即 人 侵 行 为 是 异常 行为 的 子 集 。 其 原理 是 : 首先 建立 系统 或 用 户 的 “正常 "行为 特征 轮 
廓 ,通过 比较 当前 系统 或 用 户 的 行为 是 否 偏离 正常 的 行为 特征 轮廓 来 判断 是 否 发 生 和 人 侵 行 
为 ,而 不 是 依赖 于 具体 入 侵 行为 是 否 出 现 来 进行 检测 的 。 从 这 个 意义 上 来 讲 , 异 常 检 测 是 一 
种 间接 的 方法 。 图 8. 55 是 典型 的 异常 检测 系统 示意 图 。 


六 


统计 分 析 
审计 数据 “上 一 一 ”| 系统 正常 的 行为 特征 轮廓 偏离 正常 一 | 
7 行为 特征 


动态 产生 新 的 
行为 特征 


图 8.55 典型 的 异常 检测 系统 示意 图 


从 异常 检测 的 实现 机 理 来 看 ,异常 检测 所 面临 的 关键 问题 如 下 。 

@ 特征 量 的 选择 。 异 常 检测 首先 是 要 建立 系统 或 用 户 的 “正常 "行为 特征 轮廓 ,这 就 要 
求 在 建立 正常 模型 时 ,选取 的 特征 量 既 要 能 准确 地 体现 系统 或 用 户 的 行为 特征 ,又 能 使 模型 
最 优化 , 即 以 最 少 的 特征 量 涵盖 系统 或 用 户 的 行为 特征 。 作 为 异常 检测 最 关键 的 第 一 步 , 它 
将 直接 影响 检测 性 能 的 优 劣 。 

@ 国 值 的 选 定 。 因 为 在 实际 的 网 络 环境 下 ,入 侵 行 为 和 异常 行为 往往 不 是 一 对 一 的 等 
价 关系 (这 样 的 情况 是 经 常会 有 的 : 某 一 行为 是 异常 行为 ,而 它 不 一 定 是 入 侵 行 为 ; 同样 存 
在 某 一 行为 是 人 侵 行为 ,而 它 却 不 一 定 是 异常 行为 的 情况 ), 所 以 会 导致 检测 结果 的 虚 警 
(false positives) 和 漏 警 (false negatives) 的 产生 。 由 于 异常 检测 是 先 建立 正常 的 特征 轮廓 
并 以 此 作为 比较 的 基准 ,这 个 基准 . 即 阔 值 的 选 定 是 非常 关键 的 。 

赣 值 选 得 过 大 , 那 漏 报 率 就 会 很 高 ,这 对 被 保护 的 系统 的 危害 会 很 大 ; 相反 , 阅 值 选 得 
过 小 , 则 误 报 率 就 会 提高 ,这 会 对 入 侵 检测 系统 的 正常 工作 带 来 很 多 的 不 便 。 总 之 ,恰当 地 
选取 比较 基准 的 阔 值 是 异常 检测 的 关键 ,是 直接 衡量 这 一 检测 方法 准确 率 高 低 的 至 关 重 要 
的 因素 。 
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@ 比较 频率 的 选取 。 由 于 异常 检测 是 通过 比较 当前 的 行为 和 已 建立 的 正常 行为 特征 
轮廓 来 判断 和 人 侵 的 发 生 与 否 的 ,因而 比较 的 频率 , 即 经 过 多 长 时 间 进 行 比较 的 问题 也 是 一 个 
重要 因素 。 经 过 的 时 间 过 长 ,检测 结果 的 漏 警 率 会 很 高 ,因为 攻击 者 往往 能 通过 逐渐 改变 攻 
击 的 模式 使 之 训练 成 系统 能 接受 的 行为 特征 ,从 而 使 攻击 无 法 被 检测 出 来 ; 如 果 经 过 的 时 
间 过 短 ,就 存在 虚 警 率 提高 的 问题 ,因为 有 的 正常 的 进程 在 短 时 间 内 的 资源 消耗 会 很 大 ,这 
样 检测 系统 就 会 误 认 为 有 和 人 侵 行为 的 发 生 。 另 外 ,正常 的 行为 特征 轮廓 存在 更 新 的 问题 ,这 
也 是 在 选取 比较 的 频率 时 必须 考虑 的 因素 。 

从 异常 检测 的 原理 可 以 看 出 ,该 方法 的 技术 难点 在 于 :“ 正 常 ”行为 特征 轮廓 的 确定 ; 
特征 量 的 选取 ; 特征 轮廓 的 更 新 。 由 于 这 几 个 因素 的 制约 ,异常 检测 的 虚 警 率 会 很 高 。 但 
对 于 未 知 的 人 侵 行 为 的 检测 非常 有 效 , 同 时 它 也 是 检测 冒充 合法 用 户 的 入 侵 行 为 的 有 效 方 
法 。 此 外 ,由 于 需要 实时 地 建立 和 更 新 系统 或 用 户 的 特征 轮廓 ,因而 所 需 的 计算 量 很 大 ,对 
系统 的 处 理性 能 要 求 也 很 高 。 

(2) 误 用 检测 (misuse detection) 

误 用 检测 也 被 称 为 基于 知识 的 (knowledge-based) 检 测 。 甚 基本 前 提 是 : 假定 所 有 可 
能 的 入侵 行为 都 能 被 识别 和 表示 。 原 理 是 : 首先 对 已 知 的 攻击 方法 进行 攻击 签名 表示 ( 攻 
击 签名 是 指 用 一 种 特定 的 方式 来 表示 已 知 的 攻击 模式 ), 然 后 根据 已 经 定义 好 的 攻击 签名 ， 
通过 判断 这 些 攻击 签名 是 否 出 现 来 判断 入 侵 行为 的 发 生 与 否 。 这 种 方法 是 通过 直接 判断 攻 
击 签 名 的 出 现 与 否 来 判断 入 侵 行为 的 ,从 这 一 点 来 看 , 它 是 一 种 直接 的 方法 。 图 8. 56 是 典 
型 的 误 用 检测 系统 示意 图 。 


修改 已 有 规则 


审计 数据 一 一 系统 正常 的 行为 特征 轮廓 睹 可 站 一 全 ) 
湛 加 新 的 规则 


时 间 信 息 
图 8.56 典型 的 误 用 检测 系统 示意 图 


同样 , 误 用 检测 也 存在 着 影响 检测 性 能 的 关键 问题 : 攻击 签名 的 正确 表示 。 

误 用 检测 是 根据 攻击 签名 来 判断 入 侵 的 ,那么 如 何 有 效 地 根据 对 已 知 的 攻击 方法 的 了 
解 ,用 特定 的 模式 语言 来 表示 这 种 攻击 。 即 攻击 签名 的 表示 将 是 该 方法 的 关键 所 在 ,尤其 是 
攻击 签名 必须 能 够 准确 地 表示 入 侵 行 为 及 其 所 有 可 能 的 变种 ,同时 又 不 会 把 非 入 侵 行 为 包 

由 于 很 大 一 部 分 的 入 侵 行为 利用 的 是 系统 的 漏洞 和 应 用 程序 的 缺陷 ,因而 通过 分 析 攻 
击 过 程 的 特征 条件、 排列 及 事件 间 的 关系 ,就 可 具体 描述 入 侵 行 为 的 迹象 。 这 些 迹象 不 仅 
对 分 析 已 经 发 生 的 入 侵 行 为 有 帮助 ,而 且 对 即将 发 生 的 入 侵 行为 也 有 预警 作用 ,因为 只 要 部 
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分 满足 这 些 入 侵 迹 象 就 意味 着 可 能 有 入侵 行为 的 发 生 。 

误 用 检测 是 通过 将 收集 到 的 信息 与 已 知 的 攻击 签名 模式 库 进行 比较 ,从 而 发 现 违背 
安全 策略 的 行为 的 。 因 此 , 它 只 需 收 集 相 关 的 数据 ,这 样 系统 的 负担 就 明显 减 小 了 。 该 
方法 类 似 于 病毒 检测 系统 ,其 检测 的 准确 率 和 效率 都 比较 高 ,而 且 这 种 技术 比较 成 熟 , 许 
多 入 侵 检 测 系 统 都 采用 该 方法 ,如 Cisco 的 NetRanger IIS 的 Real Secure 及 Axent 公司 的 
IntruderAlert 等 。 但 是 其 检测 的 完备 性 则 依赖 于 攻击 签名 知识 库 的 不 断 更 新 和 补充 。 另 外 ， 
误 用 检测 是 通过 匹配 模式 库 来 完成 检测 过 程 的 ,所 以 在 计算 处 理 上 对 系统 的 要 求 不 是 很 高 。 

通常 ,这 里 所 能 检测 到 的 入 侵 行为 往往 是 利用 操作 系统 的 缺陷 .应 用 软件 的 缺陷 或 网 络 
协议 实现 上 的 缺陷 等 来 实施 的 。 误 用 检测 通过 检测 那些 与 已 知 的 入 侵 行为 模式 类 似 的 行为 
或 间接 地 违背 系统 安全 策略 的 行为 ,来 识别 系统 中 的 入 侵 活动 。 使 用 这 种 技术 的 入 侵 检 测 
系统 ,可 以 避免 系统 以 后 再 次 遭受 同样 的 入 侵 攻 击 行为 ,而 且 系统 安全 管理 员 能 够 很 容易 地 
知道 系统 遭受 到 了 哪 种 攻击 ,并 采取 相应 的 行动 。 但 是 ,知识 库 的 维护 需要 对 系统 中 的 每 一 
个 缺陷 都 要 进行 详细 的 分 析 ,这 不 仅 是 一 个 耗 时 的 工作 ,而 且 关 于 攻击 的 知识 依赖 于 操作 系 
统 、 软 件 的 版 本 、 硬 件 平台 及 系统 中 运行 的 应 用 程序 等 。 

误 用 检测 的 主要 局 限 性 表现 在 如 下 几 个 方面 。 

@ 它 只 能 根据 已 知 的 入 侵 序 列 和 系统 缺陷 的 模式 来 检测 系统 中 的 可 疑 行 为 ,而 面 对 新 
的 入 侵 攻击 行为 及 那些 利用 系统 中 未 知 或 潜在 缺陷 的 越权 行为 则 无 能 为 力 。 也 就 是 说 ,不 
能 检测 未 知 的 入 侵 行为 。 由 于 其 检测 机 理 是 对 已 知 的 入 侵 方法 进行 模式 提取 ,对 于 未 知 的 入 
侵 方法 由 于 缺乏 先 验 知识 就 不 能 进行 有 效 的 检测 ,因而 在 新 的 网 络 环境 下 漏 警 率 会 比较 高 。 

@ 与 系统 的 相关 性 很 强 , 即 检测 系统 知识 库 中 的 和 人 侵 攻击 知识 与 系统 的 运行 环境 有 
关 。 对 于 不 同 的 操作 系统 ,由 于 其 实现 机 制 不 同 , 对 其 攻击 的 方法 也 不 尽 相 同 , 因 而 很 难 定 
义 出 统一 的 模式 库 。 

@ 对 于 系统 内 部 攻击 者 的 越权 行为 ,由 于 他 们 没有 利用 系统 的 缺陷 ,因而 很 难 检 测 
出 来 。 

混合 式 和 人 侵 检 测 系 统 是 对 基于 误 用 和 基于 异常 的 入 侵 检测 方法 的 结合 ,采用 这 两 种 技 
术 混 合 的 方案 可 以 做 到 优势 互补 。 

除了 上 述 对 入 侵 检测 系统 的 基本 分 类 外 ,还 有 其 他 不 同形 式 的 分 类 方法 ,如 按照 人 侵 检 
测 系 统 的 响应 方式 来 划分 ,可 分 为 主动 的 入 侵 检测 系统 和 被 动 的 入侵 检测 系统 。 主 动 的 人 
侵 检测 系统 对 检测 到 的 入 侵 行为 进行 主动 响应 、 处 理 , 而 被 动 的 入 侵 检 测 系统 则 对 检测 到 的 
和 人 侵 行 为 仅 进行 告警 等 。 


8. 4.3 入侵 检测 系统 模型 


入 侵 检测 系统 是 动态 安全 防御 策略 的 核心 技术 ,比较 有 影响 的 入 侵 检 测 系统 模型 有 
CIDF 模型 ; Denning 的 通用 入 侵 检测 系统 模型 。 其 中 ,CIDF 模型 是 在 对 入 侵 检测 系统 进 
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行规 范 化 的 进程 中 提出 的 ,也 是 逐渐 被 人 侵 检 测 领 域 所 采纳 的 模型 ; Denning 的 通用 入 侵 
检测 系统 模型 作为 入侵 检测 发 展 历程 中 颇具 影响 力 的 实例 ,给 入 侵 检 测 领域 的 研究 带 来 了 
相当 重要 的 启示 。 现 在 ,很 多 的 入 侵 检测 系统 研究 原型 都 是 基于 这 两 个 模型 的 ,所 以 有 必要 
对 其 作 一 介绍 。 


1. CIDF 模型 


CIDF 模型 是 由 CIDF (common intrusion detection framework) 工 作 组 提出 的 。CIDF 
工作 组 由 Teresa Lunt 发 起 ,是 专门 从 事 对 入 侵 检测 系统 进行 标准 化 的 研究 机 构 。 它 主要 
研究 的 是 入 侵 检 测 系 统 的 通用 结构 、 入 侵 检 测 系 统 各 组 件 间 的 通信 接口 问题 ,通用 入 侵 描述 
语言 (common intrusion specification language,CISL) 及 不 同人 侵 检测 系统 间 通 信和 问题 等 关 


于 入 侵 检测 的 规范 化 问题 。 
如 图 8. 57 所 示 ,CIDF 提出 了 一 个 人 侵 检 测 系 统 的 通用 模型 , 它 将 入 侵 检 测 系 统 分 为 
以 下 几 个 单元 。 
事件 分 析 器 事件 分 析 器 


E i 汇 


|- Ce 
事件 分 析 回 事件 分 析 回 
图 8.57 简化 的 入侵 检测 系统 CIDF 模型 


。 事件 产生 器 (event generators) 

。 事件 分 析 器 (event analyzers) 

。 响应 单元 (response units) 

。 事件 数据 库 (event databases) 

CIDF 模型 将 入 侵 检 测 系统 需要 分 析 的 数据 统称 为 事件 (event), 它 可 以 是 网 络 中 的 数 
据 包 ,也 可 以 是 从 系统 日 志 等 审计 记录 途径 得 到 的 信息 。 

事件 产生 器 即 检测 器 , 它 从 整个 计算 环境 中 获得 事件 ,并 向 系统 的 其 他 部 分 提供 此 事 
件 ; 事件 分 析 器 从 分 析 得 到 数据 ,并 产生 分 析 结 果 ; 响应 单元 则 是 对 分 析 结 果 做 出 反应 的 
功能 单元 , 它 可 以 是 做 出 切断 连接 改变 文件 属性 等 反应 ,甚至 发 动 对 攻击 者 的 反击 ,也 可 以 
只 是 简单 的 告警 ; 事件 数据 库 是 存放 各 种 中 间 和 最 终 数据 的 地 方 的 总 称 , 它 可 以 是 复杂 的 
数据 库 ,也 可 以 是 简单 的 文本 文件 。 各 功能 单元 间 的 数据 交换 采用 的 是 CISL 语言 。 

图 8. 58 是 入 侵 检测 系统 的 一 个 简化 模型 , 它 给 出 了 入 侵 检测 系统 的 一 个 基本 框架 。 一 
般 地 ,入 侵 检测 系统 由 这 些 功 能 模块 组 成 。 在 具体 实现 上 ,由 于 各 种 网 络 环境 的 差异 及 安全 
需求 的 不 同 , 因 而 在 实际 的 结构 上 就 存在 一 定 程 度 的 差别 。 
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探测 器 上 ea 


安全 策略 


图 8.58 IETF 的 入 侵 检 测 模型 实例 


党 部 


数据 源 


2. Denning 通用 入 侵 检 测 系统 模型 

如 图 8. 59 所 示 ,Dorothy E. Denning 于 1987 年 提出 了 一 个 通用 的 入 侵 检测 模型 。 该 
模型 由 以 下 6 个 主要 部 分 组 成 : 主体 (subjects) 客体 (objects) 审计 记 录 (audit records) 、 
行为 轮廓 (profiles) .异常 记录 (Canomaly records) 及 活动 规则 (activity rules) 。 


规则 集 | 并、 


处 理 引 擎 


审计 记录 


规则 提取 
历史 行为 
特征 


更 新 


新 建 特征 
行为 正常 行为 
特征 轮廓 


图 8. 59 Denning 的 通用 入 侵 检 测 系统 模型 


该 模型 中 ,主体 是 指 目标 系统 上 活动 的 实体 ,通常 指 的 是 用 户 , 也 可 能 是 代表 用 户 行为 
的 系统 进程 ,或 者 是 系统 自身 。 主 体 的 所 有 行为 都 是 通过 命令 来 实现 的 。 客 体 是 指 系统 资 
源 ,如 文件 .命令 和 设备 等 。 它 是 主体 的 行为 的 接受 者 。 主 体 和 客体 没有 明显 的 界限 ,往往 
在 某 一 环境 下 的 主体 在 另 一 环境 下 则 会 成 为 客体 。 

审计 记录 是 指 主体 对 客体 进行 操作 而 在 目标 系统 上 产生 的 记录 ,如 用 户 的 登录 命令 的 
执行 及 文件 的 访问 等 都 会 在 系统 中 产生 相应 的 记录 。 它 是 由 二 主体 ,活动 ,客体 ,异常 条 件 ， 
资源 使 用 状况 ,时 间 惟 二 构成 的 六 元 组 。 其 中 ,活动 是 指 主体 对 客体 的 操作 ,如 登录 、 退 出 、 
读 和 写 等 ; 异常 条 件 是 指 主体 活动 出 现 异常 情况 时 系统 的 状态 ; 资源 使 用 状况 是 指 系 统 的 
资源 消耗 情况 ; 时 间 截 是 指 活动 发 生 的 时 间 。 
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行为 轮廓 是 描述 主体 对 客体 正常 行为 的 模型 , 它 包 含有 系统 正常 活动 的 各 种 相关 信息 。 
异常 记录 是 指 当 系 统 检 测 到 异常 行为 时 产生 的 记录 ,由 事件 ,时 间 蕉 和 行为 轮 廊 组成。 活动 
规则 是 指 系统 判断 是 否 是 入 侵 的 准则 ,以 及 当 满 足 入 侵 条 件 时 ,系统 所 采取 的 相应 的 对 策 。 

这 个 模型 是 个 典型 的 异常 检测 的 实现 原型 ,对 入 侵 检测 的 研究 起 着 相当 重要 的 推动 
作用 。 

SRI 的 NIDES 的 异常 检测 器 就 是 基于 该 模型 的 。 


8.4.4 ”分 布 式 入 侵 检 测 系统 


就 分 布 式 人 侵 检测 系统 而 言 ,一 个 大 的 网 络 环境 通常 是 由 多 个 人 侵 检测 系统 组 成 , 且 各 
个 独立 系统 之 间 能 够 互相 进行 通信 ,或 者 在 网 络 中 存在 一 个 能 够 对 整个 系统 进行 监控 ,事件 
分 析 、 模 块 控制 的 中 心 节点 。 

通过 各 个 跨越 网 段 的 分 布 式 检测 引擎 ,网络 安全 人 员 能 够 对 整个 网 络 中 发 生 的 入侵 事 
件 进行 监控 。 分 布 式 入 侵 检 测 系统 也 可 以 通过 集中 的 处 理 攻击 记录 ,然后 通过 分 析 , 使 其 能 
够 快速 、 容 易 地 去 检测 出 一 个 攻击 的 手段 ,发 现在 多 个 网 段 中 存在 的 潜在 威胁 。 

分 布 式 入 侵 检 测 系统 根据 不 同 的 划分 标准 可 以 有 多 种 分 类 方法 。 


1. 根据 模块 控制 机 制 分 类 


(1) 集中 控制 

对 每 个 人 侵 检 测 模块 都 由 一 个 中 央 控 制 模块 来 进行 管理 ,包括 对 入 侵 检 测 引擎 、 分 析 
器 .日 志 管 理 都 受 控 于 中 央 控 制 模块 。 这 种 结构 可 能 有 分 布 于 不 同 主机 上 的 多 个 数据 搜集 
器 ,但 只 有 一 个 中 央 服 务 器 ,数据 搜集 器 将 当地 收集 到 的 数据 踪迹 发 送 给 中 央 服 务 器 进行 分 
析 处 理 。 

探测 器 和 管理 模块 可 以 在 搭建 的 专用 网 络 中 进行 ,也 可 以 使 用 现 有 的 网 络 结构 ,探测 器 
可 以 工作 在 混杂 模式 ,也 可 以 工作 在 非 混 杂 模 式 。 然 而 ,无 论 在 什么 情况 下 ,DIDS 都 有 一 
个 显著 的 特征 , 即 分 布 在 网 络 不 同位 置 的 探测 器 都 向 中 央 控 制 器 传送 告警 信息 和 日 志 信 息 。 
显然 ,这 种 结构 在 可 伸缩 性 .和 鲁 棒 性 和 可 配置 性 方面 存在 致命 的 缺陷 : 第 一 , 随 着 网 络 规模 
的 增加 ,检测 引擎 和 服务 器 之 间 传 送 的 数据 量 就 会 又 增 , 导 致 网 络 性 能 下 降 ; 第 二 ,系统 比 
较 脆 弱 , 一 旦 中 央 服 务 器 出 现 故障 ,整个 系统 就 会 陷入 瘫痪 状态 ; 第 三 ,根据 各 个 主机 的 不 
同 需求 ,配置 服务 器 非常 复杂 。 

(2) 分 散 控制 

分 散 控制 分 布 式 人 侵 检测 系统 将 中 央 检 测 服务 器 的 任务 分 配给 多 个 IDS, 这 些 IDS 不 
分 等 级 ,各 司 其 职 , 负 责 监控 当地 主机 的 某 些 活动 ,相互 之 间 协 同 工 作 ,进行 全 局 决策 。 所 
以 ,可 伸缩 性 ,安全 性 都 得 到 了 显著 的 提高 .但 维护 成 本 却 很 高 .因为 针对 每 个 IDS 都 要 进 
行 必要 的 维护 , 且 分 散 的 IDS 之 间 进 行 数据 交互 很 难保 证 通信 的 安全 性 。 
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2. 按照 检测 模块 的 功能 分 类 


(1) 基于 不 同 功能 代理 的 分 布 式 人 侵 检测 系统 

这 是 典型 的 DIDS 的 结构 类 型 。NIDS 作为 探测 器 放置 在 网 络 的 各 个 地 方 , 并 向 中 央 管 
理 平台 汇报 情况 。 攻 击 日 志 定 时 传动 到 管理 平台 并 存在 相应 的 存储 设备 当中 ,位 于 各 个 网 
段 中 的 代理 引擎 具有 不 同 的 检测 功能 ,可 以 把 分 布 式 人 侵 检 测 的 各 项 检测 功能 均匀 地 分 布 
到 网 络 中 去 。 这 样 位 于 网 段 中 的 检测 代理 因为 执行 了 单一 的 功能 ,提高 了 代理 的 检测 效率 
和 检测 的 速度 。 当 然 ,这 样 的 分 布 式 系统 存在 一 定 的 不 足 , 虽 然 这 种 结构 把 各 个 检测 功能 分 
散 到 各 个 检测 代理 当中 ,但 是 这 样 也 增加 了 整个 系统 的 检测 风险 ,因为 一 旦 某 个 代理 出 现 了 
问题 ,那么 系统 的 某 个 检测 功能 就 走失 了 ,就 会 为 整个 分 布 式 检测 系统 带 来 无 法 弥补 的 
影响 。 

(2) 基于 相同 代理 的 分 布 式 人 侵 检测 系统 

和 基于 不 同 的 功能 代理 一 样 的 结构 类 似 , 不 同 的 是 它 的 功能 代理 执行 的 检测 功能 是 一 
样 的 , 即 每 个 检测 代理 具有 综合 的 检测 功能 ,因此 它 要 在 一 个 网 段 或 者 主机 所 有 要 检测 的 数 
据 都 要 进行 必要 的 检测 ,以 发 现 是 不 是 存在 有 威胁 网 络 数据 的 外 部 攻击 行为 发 生 。 相 同 代 
理 的 分 布 式 人 侵 检 测 系统 具有 较 好 的 稳定 性 , 当 一 个 检测 代理 失去 作用 的 时 候 , 其 他 的 检测 
引擎 也 能 够 正常 工作 。 但 是 存在 的 缺点 就 是 每 个 检测 代理 需要 检测 的 数据 比较 多 ,检测 任 
务 比较 重 ,容易 造成 检测 代理 因为 网 络 流量 大 而 出 现 丢 包 的 情况 。 

分 布 式 入 侵 检 测 系统 可 以 使 用 基于 主机 的 入 侵 检 测 和 基于 网 络 的 入 侵 检 测 相 结 合 的 技 
术 来 实现 。 进 入 20 世纪 90 年 代 后 ,出 现 了 把 基于 主机 和 基于 网 络 的 入 侵 检测 结合 起 来 的 
早期 尝试 ,最 早 实现 此 种 集成 能 力 的 原型 系统 是 分 布 式 入 侵 检 测 系 统 , 它 将 NSM 和 
Haystack 组 件 集成 到 一 起 ,并 采用 中 央 控 制 台 来 解决 关联 处 理 和 用 户 接 口 的 问题 。 

典型 的 DIDS 是 管理 端 /探测 器 结构 ,NIDS 作为 探测 器 放置 在 网 络 的 各 个 地 方 ,并 向 中 
央 管 理 平台 汇报 情况 。 攻 击 日 志 定 时 地 传送 到 管理 平台 ,并 保存 在 中 央 数 据 库 中 ,新 的 攻击 
特征 库 则 能 发 送 到 各 个 探测 器 上 。 每 个 探测 器 能 根据 所 在 网 络 的 实际 需要 配置 不 同 的 规则 
集 。 告 警 信息 能 发 送 到 管理 平台 的 消息 系统 ,用 各 种 方式 通知 IDS 管理 员 。 现 在 有 人 根据 
此 种 数据 来 源 于 混合 的 方式 , 称 此 类 系统 为 “混合 型 (hybrid)” 系 统 。 最 著名 的 明确 体现 分 
布 式 架构 的 早期 系统 为 SRI 的 EMERALD 系统 , 它 明确 将 分 布 式 检测 架构 进行 层次 化 的 
处 理 , 并 实现 了 不 同 层次 上 的 分 析 单 元 ,同时 提供 了 开放 的 API 接口 ,实现 基本 架构 下 的 组 
件 互 换 功能 。 之 后 ,UC Davis 设计 了 GrIDS(graph-based IDS) 系 统 , 这 也 是 处 理 可 扩展 性 
问题 的 一 次 有 益 尝 试 。 后 来 的 Purdue 大 学 设计 并 原型 实现 的 AAFID 系统 体现 了 基于 自 
治 代理 的 分 布 式 架构 思想 。 

典型 的 分 布 式 人 侵 检 测 系 统 采用 基于 主机 的 和 基于 网 络 的 入 侵 检 测 系 统 相 结合 的 综合 
方案 ,这 样 既 可 以 克服 基于 主机 的 入 侵 检测 系统 和 基于 网 络 的 入 侵 检测 系统 的 各 自 不 足 , 又 
可 以 充分 发 挥 它们 各 自 的 优势 ,从 而 实现 对 被 保护 目标 的 最 佳 防护 。 图 8. 60 是 分 布 式 人 侵 
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检测 系统 的 组 成 框图 。 
响应 系统 一 让 管理 控制 系统 K 一 3 存储 系统 
pe | | 
1 
1 
| 


上 = 二 二 


网 络 引擎 主机 代理 


图 8.60 分 布 式 人 侵 检测 系统 设计 框图 


由 图 8. 60 可 以 看 出 ,该 系统 的 主要 功能 部 件 有 网 络 引 擎 .主机 代理 、 分 析 系统 、 管 理 控 
制 系统 .存储 系统 和 响应 系统 等 。 网 络 引擎 主要 是 从 网 络 流量 中 获取 原始 数据 包 , 并 对 其 进 
行 预 处 理 , 并 将 预 处 理 后 的 数据 发 送 给 分 析 系 统 ; 主机 代理 则 是 从 受 保护 的 主机 系统 获取 
审计 数据 ,并 对 其 进行 预 处 理 , 将 处 理 过 的 数据 送 往 分 析 系 统 ; 分 析 系 统 对 预 处 理 后 的 数据 
进行 分 析 ,根据 不 同 的 数据 特点 建立 相应 的 检测 模型 , 即 采 用 不 同 的 检测 算法 对 数据 进行 分 
析 处 理 , 并 将 分 析 结 果 送 到 管理 控制 系统 ; 管理 控制 系统 是 整个 系统 同 用 户 交 互 的 窗口 , 它 
提供 各 种 管理 控制 信息 ,并 协调 其 他 部 件 的 工作 ; 存储 系统 是 用 来 对 各 种 结果 进行 存储 的 
地 方 ,并 提供 灵活 的 数据 维护 、 处 理 和 查询 服务 ,同时 也 是 一 个 安全 的 日 志 系 统 ; 响应 系统 
则 是 对 确认 的 入 侵 行为 采取 相应 措施 的 子 系统 。 

从 所 采用 的 技术 角度 来 看 ,分 布 式 和 人 侵 检 测 系 统 的 检测 机 制 是 误 用 检测 和 异常 检测 并 
举 的 方案 。 具 体 的 工作 模式 如 图 8. 61 所 示 。 


让 当前 活动 的 攻击 签名 


i 数据 建立 攻击 一 | 入 侵 行为 
乔 。「 现 络 通 信 数 据 预 处 理 签名 库 

异 | 系统 审计 数据 

从 | 数据 | | 建立 正常 的 | | 

测 预 处 理 行为 特征 轮廓 国 值 


比较 | ~| 异常 行为 
提取 当前 的 | | 判别 


行为 特征 轮廓 
图 8.61 分 布 式 人 侵 检 测 系统 的 检测 机 制 示意 图 


图 8. 62 给 出 了 一 个 典型 的 分 布 式 人 侵 检测 系统 在 实际 网 络 环境 下 的 部 署 图 。 在 本 图 
的 防火 墙 内 外 都 设置 了 网 络 引擎 ,这样 就 可 以 充分 利用 基于 网 络 的 IDS 的 优点 ,实时 地 进 
行 攻击 企图 的 识别 ,并 可 将 其 阻 断 在 防火 墙 之 外 。 同 时 ,还 可 监控 透 过 防火 墙 的 攻击 行为 ， 
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为 我 们 及 时 地 更 新 防火 墙 的 配置 提供 依据 。 对 于 主机 代理 的 设置 则 要 根据 具体 的 安全 防护 
策略 来 进行 。 这 样 ,就 可 以 最 大 限度 地 发 挥 不 同类 型 的 IDS 的 优势 ,实现 对 被 保护 网 络 的 
最 大 安全 化 。 


国际 互联 网 i 


网 络 引擎 管理 控制 系统 


dg 外 ysy 
服务 器 。 服务 器 服务 器 


[人 站 工作站。 工作 站 
图 8.62 典型 的 分 布 式 人 侵 检测 系统 部 署 图 


8.4.5 SNORT 入 侵 检测 系统 


1. SNORT 概述 


Snort 是 一 种 基于 libpcap 的 数据 包 嗅 探 器 ,可 以 作为 一 个 轻 量 级 的 网 络 入 侵 检 测 系 
统 。 所 谓 的 轻 量 级 是 指 在 检测 时 尽 可 能 低地 影响 网 络 的 正常 操作 。Snort 是 一 种 基于 网 络 
的 IDS, 并 且 Snort 可 以 运行 于 多 种 操作 系统 平台 ,例如 UNIX 系列 和 Windows 系列 。 与 
很 多 商业 产品 相 比 , 它 对 操作 系统 的 依赖 性 比较 低 。 其 次 ,用 户 可 以 根据 自己 的 需要 及 时 地 
在 短 时 间 内 调整 检测 策略 。 

Snort 集成 了 多 种 告警 机 制 来 提供 实时 告警 功能 ,包括 syslog 用户 指定 文件 .UNIXSocket、 
通过 SMBClient 使 用 WinPopup 对 Windows 客户 端 告警 等 。 

Snort 是 开放 源 代码 的 ,通过 适当 配置 ,可 以 帮助 中 小 网 络 的 系统 管理 员 有 效 地 监视 网 
络 流量 和 检测 人 侵 行 为 。 

Snort 系统 的 基本 功能 包括 数据 包 嗅 探 ,数据 包 记 录 和 入侵 检测 等 。 同 时 ,通过 配置 ， 
Snort 还 能 够 完成 更 复杂 的 功能 。Snort 取得 数据 包 后 先 用 预 处 理 器 插件 处 理 , 然 后 经 过 检 
测 引 苟 中 的 所 有 规则 链 , 如 果 有 符合 规则 链 的 数据 包 , 就 会 被 检测 出 来 。Snort 的 预 处 理 
器 ,检测 引擎 和 告警 模块 都 是 插件 结构 ,插件 程序 按照 Snort 提供 的 插件 函数 接口 完成 ,使 
用 时 动态 加 载 ,在 使 用 修改 核心 代码 的 前 提 下 让 Snort 的 功能 和 复杂 性 扩展 更 容易 。 这 既 
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保障 了 插件 程序 和 Snort 的 核心 代码 的 紧密 相关 性 ,又 保障 了 核心 代码 的 良好 扩展 性 。 

下 面 介绍 Snort 的 基本 功能 模块 。 

(1) 数据 包 嗅 探 器 

Snort 的 最 基本 功能 就 是 数据 包 嗅 探 。 然 而 ,数据 包 嗅 探 只 是 Snort 工作 的 开始 。 在 因 
特 网 上 通常 指 嗅 探 IP 网 络 的 流量 ,但 是 对 不 常用 的 网 络 协议 如 IPX 和 AppleTalk 等 也 能 
嗅 探 。 在 IP 数据 包 中 包含 了 不 同类 型 的 协议 ,如 TCP .UDP ICMP IPSec 和 路 由 协议 等 ， 
因此 很 多 数据 包 嗅 探 器 还 会 做 协议 分 析 ,把 分 析 结 构 展现 出 来 。 数 据 包 嗅 探 器 有 以 下 几 种 
用 法 。 

。 网 络 分 析 和 网 络 故障 查找 。 

。 网 络 性 能 和 负荷 量 分 析 。 

。 监听 明文 传输 的 用 户 名 密码 等 敏感 数据 。 

(2) 预 处 理 器 

基于 特征 /规则 匹配 的 IDS 系统 因为 速度 快 而 受到 众多 用 户 的 信赖 。 这 种 检测 系统 的 
缺点 是 : 如 果 攻 击 模式 很 常见 ,就 会 产生 很 多 误 报 。 如 果 模 式 过 于 特殊 ,又 会 产生 漏 报 。 造 
成 这 些 缺 陷 的 原因 是 特征 语言 的 表达 能 力 有 限 或 IDS 对 协议 的 分 析 不 够 ,一 些 IDS 通过 复 
杂 的 方法 解决 这 一 问题 。Snort 则 通过 预 处 理 器 来 实现 这 些 功 能 。 这 些 功 能 主要 包括 。 

。 包 重组 。 

。 协议 解码 。 

。 异常 检测 。 

(3) 检测 引擎 模块 

检测 引擎 是 Snort 的 核心 模块 。 当 数据 包 从 预 处 理 器 送 过 来 后 ,检测 引擎 依据 预先 设 
置 的 规则 检查 数据 包 ,一 旦 发 现 数据 包 中 的 内 容 和 某 条 规则 相 匹配 ,就 通知 告警 模块 。 

(4) 告警 /日 志 模块 

经 检测 引擎 检查 后 的 Snort 数据 需要 以 某 种 方式 输出 ,如 果 检 测 引擎 中 的 某 条 规则 被 
匹配 , 则 会 触发 一 条 告警 ,这 条 告警 信息 会 记录 在 日 志文 件 中 。 告 警 信息 也 可 记 入 数据 
库 中 。 


2. SNORT 体系 结构 


SNORT 系统 的 模块 构成 及 各 模块 之 间 的 关系 如 图 8. 63 所 示 。 

。 主 控 模 块 : 实现 的 功能 包括 模块 的 初始 化 ,命令 行 解释 、 配 置 文件 解释 数据 包 捕 获 
库 wincap 的 初始 化 ; 调用 libpcap 捕获 数据 包 , 进 行 解码 检测 入 侵 ; 对 系统 中 的 插 
件 进行 管理 (包括 插件 的 初始 化 和 启动 ) 。 

。 解码 模块 : 把 从 网 络 上 抓 取 的 原始 数据 包 沿 各 个 协议 栈 进行 解码 ,填充 相应 的 数据 
结构 ,以 便 由 规则 处 理 模块 进行 处 理 。 

。 规则 处 理 模块 : 实现 对 从 解码 模块 得 到 的 各 种 报 文 进行 子规 则 的 模式 匹配 ,检测 出 
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预 处 理 插件 处 理 插件 输出 插件 | 
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规则 处 理 模块 
lI 使 用 /调用 .| 日 志 模块 
解码 模 瑞 辅助 模块 


t 


主 控 模块 


图 8.63 SNORT 系统 模块 构成 


入 侵 行为 。 在 初始 化 阶段 , 它 还 负责 完成 规则 文件 的 解释 和 规则 语法 树 的 构建 工 
作 。 规 则 处 理 模块 在 执行 检测 工作 时 使 用 3 种 形式 的 插件 ,分 别 为 预 处 理 插 件 模 
块 . 处 理 插件 模块 和 输出 插件 模块 。 
。 预 处 理 器 插件 : 在 模式 匹配 之 前 进行 ,对 报 文 进行 分 片 重组 、 流 重组 和 异常 检查 等 
预 处 理 操 作 。 
处 理 插件 : 对 数据 包 进 行 检查 ,包括 数据 包 的 大 小 、 协 议 类 型 及 IP/ICMP/TCP 的 选 
项 等 ,辅助 规则 匹配 完成 检测 功能 。 
输出 插件 : 实现 在 检测 到 攻击 后 执行 各 种 输出 和 反应 的 功能 。 
。 日 志 模块 : 实现 各 种 报 文 日 志 功 能 , 即 把 各 种 类 型 的 报 文 记 录 到 各 种 类 型 的 日 
志 中 。 
在 系统 运行 过 程 中 ,还 用 了 一 些 辅助 模块 ,如 树 结构 定义 子 模块 定义 了 几 种 Snort 使 用 
到 的 二 叉 树 结构 和 相关 的 处 理 函 数 ; tag 处 理 模 块 完成 和 tag 模块 相关 的 功能 。 另 外 ,一 些 
子 模块 提供 了 一 些 公用 的 函数 ,如 字符 处 理 等 。 


3. 入 侵 检 测 流程 


基于 规则 的 模式 匹配 是 Snort 的 核心 检测 机 制 。Snort 的 入 侵 检 测 流 程 分 两 步 : 首先 
是 规则 的 解析 流程 ,包括 从 规则 文件 中 读 取 规 则 和 在 内 存 中 组 织 规 则 ; 其 后 是 使 用 这 些 规 
则 进行 匹配 的 入 侵 检测 流程 。 

(1) 规则 解析 流程 

Snort 的 规则 解析 流程 很 简单 : 首先 读 取 规 则 文件 , 紧 接着 一 次 读 取 每 一 条 规则 ; 然后 
对 其 进行 解析 ,用 相应 的 规则 语法 表示 ,在 内 存 中 对 规则 进行 组 织 , 建 立 规则 语法 树 。 

所 有 的 规则 按照 规则 头 排 成 主 链 , 然 后 根据 规则 选项 把 规则 插入 到 这 个 链 中 ,构成 一 棵 
规则 树 ,这 样 每 一 个 选项 节点 就 对 应 一 条 规则 。 规 则 头 节点 主要 记录 了 规则 头 信息 ,包括 源 
IP 端口 .目标 IP 端口 ,并 有 一 指针 指向 下 一 个 规则 头 节点 , 附 以 自身 规则 选项 列表 和 规则 
头 列表 结构 。 规 则 选项 节点 存放 所 有 的 规则 选项 的 信息 和 处 理 插 件 的 处 理 函 数列 表 , 分 别 
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指向 规则 头 节点 的 指针 和 关联 选项 节点 的 指针 。 

(2) 规则 匹配 流程 

规则 匹配 的 流程 就 是 对 从 网 络 上 捕获 的 每 一 条 数据 报 文 和 上 面 描述 的 规则 树 进行 匹配 
的 过 程 。 如 果 发 现存 在 一 条 规则 匹配 这 个 报 文 ,就 表示 检测 到 一 个 攻击 ,然后 按照 规则 指定 
的 行为 进行 处 理 ( 如 发 送 警 告 等 ); 如 果 搜 索 完 所 有 的 规则 都 没有 找到 匹配 的 规则 ,就 表示 
报 文 是 正常 的 报 文 。 

所 有 的 规则 被 组 织 成 规则 树 ,然后 分 类 存放 在 规则 类 列表 中 。 总 体 的 检测 过 程 归根 结 
底 是 对 规则 树 进行 匹配 扫描 ,找到 报 文 所 对 应 的 规则 。 对 规则 树 的 匹配 过 程 则 是 先 根据 报 
文 的 IP 地 址 和 端口 号 ,在 规则 头 链 表 中 找到 相对 应 的 规则 头 , 找 到 后 再 接着 匹配 此 规则 头 
附带 的 规则 选项 链表 。 


4. SNORT 规则 


SNORT 规则 是 基于 文本 的 , 它 通常 存在 于 Snort 程序 目录 或 者 子 目 录 中 。 规 则 文件 
按照 不 同 的 组 进行 分 类 ,比如 文件 ftp. rules 包含 了 FTP 攻击 内 容 。 在 启动 的 时 候 ,Snort 
读 取 所 有 的 规则 文件 ,并 且 建 立 一 个 三 维 的 链表 。Snort 使 用 该 三 维 链表 匹配 包 和 实现 
检测 。 

主 文件 snort. c 进行 初始 化 时 建立 三 维 链表 ,启动 时 Snort 系统 读 取 snort. conf 配置 文 
件 ,在 snort. conf 文件 中 链接 特定 的 规则 文件 ,如 snort. conf 文件 的 部 分 内 容 如 下 所 示 。 
include $RULE PATH/bad-traftic. rules 

include $RULE PATH/exploit. rules 

include $RULE_ PATH/scan. rules 

include $RULE_ PATH/finger. rules 

include $RULE_PATH/ftp. rules 

include $RULE PATH/telnet. rules 

include $RULE_ PATH/rpc. rulcs 


主 函 数 将 每 个 规则 文件 中 的 Snort 规则 解析 ,在 内 存 中 建立 用 来 进行 模式 匹配 的 数据 


结构 。 
(1) 规则 格式 
Snort 规则 可 以 划分 为 两 个 逻辑 部 分 : 规则 头 (rule header) 和 规则 选项 (rule options) 。 
规则 头 如 图 8. 64 所 示 。 规 则 头 包含 了 规则 动作 、 六 吊 实 
协议 IP 源 地 址 和 目的 地 址 , 子 网 掩 码 及 源 端 口 和 目 1 
标 端口 值 等 信息 。 而 规则 选项 则 包含 警报 信息 及 用 于 规则 行为 协议 源 信息 目的 信息 
确定 是 否 触 发 响应 规则 动作 而 需 检查 的 数据 包 区 域 位 
置 的 相关 信息 。 

规则 选项 并 不 是 对 每 一 个 规则 都 是 必需 的 ,它们 图 8.64 Snort 规则 头 


规则 体 
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只 是 用 来 更 好 地 定义 所 要 进行 某 种 处 理 ( 如 记录 、 警 报 等 ) 的 数据 包 类 型 。 只 有 当 规 则 中 的 
每 一 个 元 素 都 为 真 时 才能 触发 对 应 的 规则 动作 , 即 规则 元 素 之 间 形 成 的 是 一 种 逻辑 “与 ”的 
关系 。 与 此 同时 ,在 每 个 规则 库 文件 中 的 各 种 规则 集合 之 间 形 成 的 是 一 种 更 大 范围 上 的 由 
辑 “ 或 ”关系 。 

(2) Snort 规则 树 

规则 树 由 链表 头 和 规则 树 节点 Crule tree nodes, RTN) 及 选项 树 节 点 (option tree 
nodes,OTN) 组 成 。 

@ 链表 头 。Snort 规则 树 有 5 个 单独 的 规则 链 ,这 些 链 作为 “ 树 ” 顶 部 的 链表 头 。 

。 Activation: 告警 并 且 开 启 另 外 一 个 动态 规则 。 

。 Dynamic: 当 被 上 层 的 激活 规则 调用 时 ,记录 网 络 流量 的 日 志 。 
。 Alert: 产生 告警 并 记录 这 个 数据 包 。 

。 Pass: 忽略 这 个 数据 包 。 

。 Log: 记录 网 络 的 流量 (不 告警 ) 。 

@ 规则 树 节 点 和 选项 树 节 点 。 对 于 5 个 规则 链 中 的 每 一 个 ,都 有 单独 的 被 协议 关闭 的 

链表 , 树 中 的 这 一 层 被 称 为 规则 树 节 点 。 规 则 树 节 点 支持 以 下 4 个 协议 。 
。 TCP TCP 协议 : 如 SMTP、HTTP 和 FTP。 
。 UDP UDP 协议 : 如 DNS lookups。 
。 ICMP ICMP 协议 : 如 ping traceroute。 
。 IP IP 协议 : 如 IPSec、IGMP。 

每 一 个 协议 链表 中 的 是 规则 选项 , 称 为 选项 树 节 点 。 

其 中 ,Content 中 的 内 容 是 具体 采用 BM 或 AC 模式 匹配 算法 进行 查找 的 特征 字符 串 。 
Flow 中 的 内 容 是 系统 根据 设置 ,指定 要 链接 到 的 检测 插件 。 初 始 化 时 ,SNORT 读 入 规则 
文件 ,把 规则 集合 组 织 成 一 个 三 维 的 链表 结构 ,这 个 链表 结构 包含 规则 树 节 点 和 选项 树 

规则 树 节点 中 包含 规则 的 通用 属性 ,例如 源 IP 地 址 、 源 端口 号 ,目的 IP 地址、 目的 端口 
号 和 协议 类 型 (TCP、ICMP、UDP) 等 。 选 项 树 节点 中 包含 一 些 可 被 添加 到 每 条 规则 中 的 各 
种 各 样 的 信息 ,例如 TCP 标志 、ICMP 代码 、 类 型 、 包 负载 的 大 小 ,影响 效率 的 主要 瓶颈 ,要 
查找 的 内 容 等 。 

RTN 节点 从 左 到 右 组 成 一 个 链 , 并 作为 各 个 OTN 链 的 链 头 , 即 OTN 链 是 链 在 与 之 相 
关 的 RTN 节点 的 下 面 的 。 按 照 给 定 的 规则 集 对 包 进 行 检查 时 .首先 沿 着 RTN 链 从 左 向 右 
进行 匹配 直到 找到 一 个 匹配 的 RTN 节点 。 当 要 检查 的 包 与 某 一 个 RTN 节点 匹配 时 , 沿 着 
链 在 它 下 面 的 OTN 链 继续 向 下 查找 ,对 每 个 OTN 中 的 选项 的 检查 采用 相应 的 插件 函数 进 
行 ,这 些 插件 函数 也 同样 被 组 织 成 链表 的 形式 。 当 OTN 节点 中 的 一 个 选项 与 包 匹 配 时 , 当 
前 的 插件 函数 调用 链表 中 的 下 一 个 插件 函数 对 该 OTN 节点 中 下 一 个 选项 进行 检查 。 如 果 
一 个 选项 检查 失败 , 则 跳出 该 OTN 节点 ,对 OTN 链表 中 的 下 一 个 OTN 节点 进行 检查 。 
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为 了 提高 效率 , 先 对 不 需要 对 包 内 容 进行 检查 的 选项 进行 检查 ,然后 青 对 需要 对 包 内 容 进行 
检查 的 选项 进行 检查 ,以 减少 不 必要 的 匹配 所 需 的 计算 量 。 如 果 需 要 对 包 的 内 容 进 行 检 查 ， 
则 使 用 著名 的 BM 算法 或 经 过 优化 的 AC 算法 ,将 OTN 节点 选项 所 要 求 检查 的 模式 串 与 
包 的 内 容 进 行 精确 的 模式 匹配 。 如 果 包 中 没有 包含 要 找 的 串 , 继 续 与 链表 中 下 一 个 OTN 
节点 中 的 选项 所 要 查找 的 模式 串 进 行 匹 配 ,直到 在 包 中 找到 所 要 查找 的 内 容 或 所 要 查找 的 
串 全 部 查找 一 遍 为 止 。 


8.4.6 入 侵 检测 的 发 展 趋势 


无 论 在 规模 上 还 是 方法 上 说 ,入 侵 技 术 近年 来 都 发 生 了 变化 。 入 侵 的 手段 与 技术 也 有 
了 很 大 的 发 展 和 演化 ,主要 反映 在 下 列 几 个 方面 。 

Q@ 入 侵 或 攻击 的 综合 化 与 复杂 化 。 入 侵 的 手段 有 多 种 ,以 往 的 入 侵 者 往往 采取 一 种 攻 
击 手 段 。 由 于 当前 网 络 防范 技术 的 多 重 化 ,攻击 的 难度 增加 ,使 得 入 侵 者 在 实施 人 侵 或 攻击 
时 往往 同时 采取 多 种 入 侵 的 手段 ,以 保证 人 侵 的 成 功 概率 ,并 可 在 攻击 实施 的 初期 掩盖 攻 寺 
或 人 侵 的 真实 目的 。 

@ 入 侵 主体 对 象 的 间接 化 , 即 实施 入 侵 与 攻击 的 主体 的 隐蔽 化 。 通 过 一 定 的 技术 ,可 
掩盖 攻击 主体 的 源 地 址 及 主机 位 置 。 即 使 用 了 隐蔽 技术 后 ,对 于 被 攻击 对 象 来 说 ,真正 的 攻 
击 主体 是 无 法 直接 确定 的 。 

@ 入 侵 或 攻击 的 规模 日 益 扩大 。 对 于 网 络 的 入 侵 与 攻击 ,在 其 初期 往往 是 针对 于 某 公 
司 或 一 个 网 站 ,其 攻击 的 目的 可 能 为 某 些 网 络 技术 爱好 者 的 猎奇 行为 ,也 不 排除 商业 的 盗窃 
与 破坏 行为 。 由 于 战争 对 电子 技术 与 网 络 技术 的 依赖 性 越 来 越 大 , 随 之 产生 发展 .逐步 升 
级 到 电子 战 与 信息 战 。 对 于 信息 战 , 无 论 其 规模 与 技术 都 与 一 般 意义 上 的 计算 机 网 络 的 人 
侵 与 攻击 不 可 相提并论 。 信 息 战 的 成 败 与 国家 主干 通信 网 络 的 安全 是 与 任何 主权 国家 领土 
安全 一 样 重要 的 国家 安全 。 

@ 入 侵 或 攻击 技术 的 分 布 化 。 以 往常 用 的 入 侵 与 攻击 行为 往往 由 单机 执行 。 由 于 防 
范 技术 的 发 展 使 得 此 类 行为 不 能 奏效 。 所 谓 的 分 布 式 拒绝 服务 在 很 短 时 间 内 可 造成 被 攻击 
主机 的 瘫痪 。 且 此 类 分 布 式 攻击 的 单机 信息 模式 与 正常 通信 无 差异 ,所 以 往往 在 攻击 发 动 
的 初期 不 易 被 确认 。 分 布 式 攻击 是 近期 最 常用 的 攻击 手段 。 

@ 攻击 对 象 的 转移 。 入 侵 与 攻击 常 以 网 络 为 侵犯 的 主体 ,但 近期 的 攻击 行为 却 发 生 了 
策略 性 的 改变 ,由 攻击 网 络 改 为 攻击 网 络 的 防护 系统 , 且 有 越 演 越 烈 的 趋势 。 现 已 有 专门 针 
对 IDS 做 攻击 的 报道 。 攻 击 者 详细 地 分 析 了 IDS 的 审计 方式 .特征 描述 .通信 模 式 并 找 出 
IDS 的 弱点 ,然后 加 以 攻击 。 

相应 的 ,入 侵 检测 技术 主要 以 下 面 这 些 为 发 展 方向 。 

。 分 布 式 人 侵 检测 : 针对 分 布 式 网 络 攻击 的 检测 方法 ,使 用 分 布 式 的 方法 来 检测 分 布 

式 的 攻击 ,其 中 的 关键 技术 为 检测 信息 的 协同 处 理 与 人 侵 攻 击 的 全 局 信息 的 提取 。 


Er 芝 
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。 智 能 化 入 侵 检测 : 即使 用 智能 化 的 方法 与 手段 来 进行 人 侵 检 测 。 所 谓 的 智能 化 方 
法 , 现 阶 段 常用 的 有 神经 网 络 、 遗 传 算法 、 模 糊 技术 和 免疫 原理 等 方法 ,这 些 方法 常 
用 于 入 侵 特征 的 辨识 与 汉化 。 利 用 专家 系统 的 思想 来 构建 入 侵 检 测 系 统 也 是 常用 
的 方法 之 一 。 特 别 是 具有 自学 习 能 力 的 专家 系统 ,实现 了 知识 库 的 不 断 更 新 与 扩 
展 ,使 设计 的 入 侵 检 测 系统 的 防范 能 力 不 断 增强 ,应 具有 更 广泛 的 应 用 前 景 。 应 用 
智能 体 的 概念 来 进行 人 侵 检 测 的 尝试 也 已 有 报道 ,较为 一 致 的 解决 方案 应 为 高 效 常 
规 意义 下 的 入 侵 检 测 系 统 与 具有 智能 检测 功能 的 检测 软件 或 模块 的 结合 使 用 。 
全 面 的 安全 防御 方案 : 即使 用 安全 工程 风险 管理 的 思想 与 方法 来 处 理 网 络 安全 问题 ， 
将 网 络 安全 作为 一 个 整体 工程 来 处 理 。 从 管理 网络 结 构 ,加密 通道 防火 墙 、 病 毒 防护 和 入 
侵 检测 多 方位 全 面 对 所 关注 的 网 络 作 评估 ,然后 提出 可 行 的 全 面 解决 方案 。 


本 章 实 验 


1. Windows 系统 VPN 的 配置 。 
2. Linux 防火 墙 的 配置 。 
3. 安装 调试 和 人 侵 检测 工具 Snort。 


思考 题 


1. 假设 公司 拥有 一 个 PPTP VPN ,公司 雇员 出 差 在 外 地 通过 ADSL 拨 入 公司 内 部 网 
络 , 这 种 情况 下 将 有 两 个 PPP 连接 被 建立 ,仔细 考虑 一 下 这 两 个 PPP 连接 分 别 是 如 何 建 立 
的 ? 数据 包 的 封装 又 是 怎样 的 ”私有 地 址 通过 哪个 连接 分 配给 雇员 的 客户 端 机 器 ? 

2. MPLS BGP VPN 是 如 何 利用 虚拟 路 由 器 隔离 VPN 之 间 的 路 由 的 ? MPLS VPN 还 
有 什么 其 他 的 方式 ? 

3. 基于 异常 的 和 人 侵 检测 和 基于 误 用 的 异常 检测 各 有 什么 优点 和 缺点 ? 

4. MAC、DAC 和 RBAC 的 交集 存在 吗 ? Windows 系统 中 采用 的 是 什么 访问 控制 
机 制 ? 

5. 一 台 Linux 主机 上 安装 了 代理 服务 器 软件 ,同时 它 也 作为 带 有 网 络 地 址 转换 功能 的 
路 由 器 存在 于 内 部 网 络 和 外 部 网 络 之 间 ,在 收 到 内 部 网 络 中 访问 Internet 的 请 求 后 这 两 个 
功能 分 别 如 何 处 理 该 请 求 ? Wingate、Sygate 及 CCproxy 分 别 属于 哪 种 角色 ? 


下 


无 线 网 络 及 移动 IP 安全 


9.1 无 线 网 络 安全 概述 


9.1.1 无 线 网 络 及 其 分 类 


目前 无 线 接 人 网 的 总 体 框 架 是 一 个 由 混合 技术 构建 的 .基于 互 连 固定 基站 (或 接 人 点 
AP) 和 蜂窝 结构 的 体系 结构 ,如 图 9. 1 所 示 。 其 中 ,有 线 结构 部 分 由 交换 机 、 路 由 器 和 支持 
无 线 网 络 运行 的 移动 管理 部 件 组 成 。 未 来 的 无 线 通信 网 络 将 包含 下 列 部 分 : 地 面 蜂窝 
(terrestrial cellular/PCS) ,高 容量 链接 (有 线 的 或 固定 的 点 对 点 无 线 通信 ) ,可 编程 的 多 波段 
多 方式 无 线 通信 和 连接 基础 设施 的 或 以 ad hoc 方式 运行 的 高 速 WLAN。 提 供 信息 的 设备 
包括 服务 器 台式 机 、 笔 记 本 式 计 算 机 、PDA 、 蜂 窝 电话 和 传感器 等 。 移 动 节点 MNCmobile 


因特网 或 
公共 数据 网 


图 9.1 无 线 网 络 体 系 结构 
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node) 将 进入 和 离开 蜂窝 ,在 不 同 点 接 入 网 络 。 接 入 网 络 技术 和 连通 与 断 开 的 模式 将 变化 很 
大 ,但 还 必须 是 无 缝 进行 的 。 水 平 交 接 必须 是 在 同样 技术 的 两 点 间 进行 ,而 垂直 交接 是 在 不 
同类 型 的 两 点 之 间 进 行 。 

无 线 网 络 可 以 分 为 无 线 广域网 .无线 城 域 网 无线 局 域 网 和 无 线 个 人 网 络 。 各 种 无 线 网 
络 使 用 的 传输 介质 及 其 传输 距离 如 图 9. 2 所 示 。 


下 

传输 速度 
1 1 1 1 
1 1 和 1 
1 1 1 1 
A 1 | 1 
1 1 i 
54Mb/s 802.11{a,g} ! 1 1 
Ce 人 1 
5Mb/s~11Mb/s 802.11b | .11 p-to-p link | 
1 1 1 1 
PE 1 1 1 | 
IMb/s | 802.15 1 | 1 1 
1 1 1 1 
下 1 1 1 
一 一 I 
384Kb/s 1 UMTS/WCDMA,CDMA2000 | 
56Kb/s I IS-95 CDMA,GSM | 

Indoor Outdoor Mid range | Long range 有 效 距离 
10m 一 30m ! 50m 一 200m | outdoor outdoor | 
200m 一 4km 5km 一 20km 


图 9.2 无 线 网 络 家 谱 


(1) 无 线 广域网 (wireless wide area network,WWAN) 

主要 是 指 通过 移动 通信 卫星 进行 的 数据 通信 ,其 覆盖 范围 最 大 。 代 表 技 术 有 3G, 以 及 
未 来 的 4G 等 。 由 于 3G 的 标准 化 工作 日 趋 成 熟 ,一 些 国际 标准 化 组 织 ( 如 TIU) 重 点 关注 能 
提供 更 高 无 线 传输 速率 和 灵活 统一 的 IP 网 络 平台 的 下 一 代 移 动 通信 系统 ,一般 称 为 后 3G、 
增强 型 IMT-2000(Cenhanced IMT-2000)、 后 IMT-2000(system beyond IMT-2000) 或 4G 。 

(2) 无 线 城 域 网 (wireless metropolitan area network,WMAN) 

主要 是 通过 移动 电话 或 车 载 装置 进行 的 移动 数据 通信 ,可 以 覆盖 城市 中 的 大 部 分 区 域 。 
其 代表 技术 是 2002 年 提出 的 IEEE 802. 20 ,主要 研究 移动 宽带 无 线 接 入 (mobile broadband 
wireless access,MBWA) 技 术 和 相关 标准 的 制定 。 该 标准 更 加 强调 移动 性 , 它 是 由 IEEE 
802. 16 的 宽带 无 线 接 人 (broadband wireless access,BBWA) 技 术 发 展 而 来 的 。 

(3) 无 线 局 域 网 (wireless local area network.WLAN) 

一 般 用 于 区 域 间 的 无 线 通 信 , 其 覆盖 范围 较 小 。 代 表 技 术 是 IEEE 802. 11 系列 。 数 据 
传输 速率 在 11Mb/s 一 56Mb/s 之 间 ,甚至 更 高 。 

无 线 局 域 网 采用 行业 标准 802. 11。 多 数 802. 11 设备 都 经 过 Wi-Fi 联盟 认证 ,以 确保 
无 线 局 域 网 产品 的 互 操作 性 。 

公认 的 802. 11 标准 有 三 种 : 802. 11b、802. 11g 和 802. 11a。802. 11b 是 最 常用 的 一 种 
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802. 11 标准 ,被 广泛 部 署 在 企业 和 公共 区 域 。 传 输 速率 最 高 11Mb/s ,使 用 2.4 GHz 无 线 频 
段 。802. 11g 兼容 802. 11b, 传 输 速率 最 高 可 达 54 Mb/s, 使 用 2. 4 GHz 无 线 频段 。802. 11a 传 
输 速率 最 高 可 达 54Mb/s, 使 用 5 GHz 无 线 频 段 。 此 外 ,新 兴 802. 11n 标准 较 前 代 协 议 , 提 
供 更 高 数据 传输 率 和 更 远 的 传输 距离 。 理 想 条 件 下 ,802. 1ln 设备 之 间 的 传输 速率 可 达 
270Mb/s, 它 具有 与 802. 11a 规格 相同 的 双 模 功能 ,兼容 前 三 种 标准 。 

从 无 线 局 域 网 的 发 展 历史 来 看 ,最 开始 出 现 的 是 传输 速度 只 有 2Mb/s 的 802. 11 ,由 于 
速度 比较 慢 而 且 协 议 不 是 很 成 熟 ,很 快 就 被 速度 为 11Mby/s 的 802. 11b 取代 ,随后 ,更 高 速 
的 802. 11a 出 现 。802. 11b 采用 相对 较为 简单 的 “顺序 传播 频谱 ”技术 ,而 802. 11a 采用 的 是 
“ 正 交 频 分 多 路 复 用 ”技术 。 尽 管 802. 11a 速度 快 ,但 是 其 工作 的 5GHz 频段 存在 很 多 问题 ,其 
中 最 主要 的 是 兼容 性 。 由 于 频率 不 同 ,802. 11a 产品 与 基于 802. 11b 的 产品 不 能 实现 互 操作 。 

为 解决 802. 11a 和 802. 11b 不 兼容 问题 ,IEEE 开发 了 802. 11g, 工 作 在 2. 4GHz 频段 ， 
因而 实现 了 与 旧式 系统 的 兼容 。802. 11g 速度 可 达到 54Mb/s, 对 障碍 物 的 穿 透 能 力也 较 
强 ,在 性 能 方面 与 802. 11a 相似 ,而 且 其 设备 价格 比 802. 11a 更 便宜 ,并 可 兼容 802. 11b。 

(4) 无 线 个 人 网 (wireless personal area network,WPAN) 

由 IEEE 802. 15 定义 ,无线 传 输 距离 一 般 在 10m 左右 。2002 年 ,IEEE 802. 15 工作 组 
成 立 ,专门 从 事 WPAN 标准 化 工作 。 它 的 任务 是 开发 一 套 适 用 于 短程 无 线 通 信 的 标准 , 即 
WPAN 的 802. 15 系列 标准 。 目 前 ,IEEE 802.15 WPAN 共有 4 个 工作 组 。 

。 802.15.1: 蓝牙 WPAN 工作 组 。 蓝 牙 是 无 线 个 人 局 域 网 的 先驱 ,在 初始 阶段 ,IEEE 

并 没有 制定 蓝牙 相关 的 标准 ,所 以 经 过 一 段 快速 发 展 时 期 后 ,蓝牙 很 快 就 有 了 产品 
兼容 性 的 问题 。 现 在 .IEEE 制定 802. 15. 1 行业 标准 来 开发 能 够 相互 兼容 的 蓝牙 芯 
片 、 网 络 和 产品 。 

。 802. 15.2: 共存 组 。 为 所 有 工作 在 2. 4GHz 频带 上 的 无 线 应 用 建立 一 个 标准 。 

。 802. 15. 3: 高 数据 率 WPAN 工作 组 。 该 标准 适用 于 高 质量 要 求 的 多 媒体 应 用 领域 。 

。 802. 15.4: 为 了 满足 低 功 耗 、 低 成 本 的 无 线 网 络 要 求 ,IEEE 标准 委员 会 在 2000 年 

12 月 份 正式 批准 并 成 立 了 802. 15.4 工作 组 ,任务 是 开发 一 个 低 数据 率 的 WPAN 
(LR-WPAN) 标 准 。 它 具有 复杂 度 低 、 成 本 极 少 、 功 耗 很 小 的 特点 ,能 在 低 成 本 设备 
(固定 ,便携 或 可 移动 的 ) 之 间 进 行 低 数据 率 的 传输 。 

随 着 宽带 无 线 IP 网 络 技术 的 发 展 ,WLAN 将 和 WWAN 以 IP 为 核心 实现 融合 ,未 来 
的 宽带 无 线 IP 技术 将 是 由 宽带 接 入 和 分 布 式 网 络 构成 ,具有 2Mb/s 以 上 的 数据 传输 能 力 ， 
包括 宽带 无 线 固定 接 入 、 宽 带 无 线 局 域 网 ,移动 宽 带 系统 和 交互 式 广播 网 络 等 。 


9.1.2 无线 网 络 安全 性 分 析 


无 线 网 络 的 应 用 扩展 了 用 户 的 自由 度 , 还 具有 安装 时 间 短 ,增加 用 户 或 更 改 网 络 结构 方 
便 、 灵 活 及 经 济 等 特点 ,可 以 提供 无 线 覆 盖 范 围 内 的 全 功能 漫游 服务 等 优势 。 然 而 ,这 种 自 
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由 也 同时 带 来 了 新 的 挑战 ,包括 安全 性 问题 。 由 于 无 线 网 络 通过 无 线 电波 在 空中 传输 数据 ， 
在 数据 发 射 机 覆盖 区 域内 几乎 所 有 的 无 线 网 络 用 户 都 能 接触 到 这 些 数 据 。 只 要 具有 相同 接 
收 频率 就 可 能 获取 所 传递 的 信息 。 要 将 无 线 网 络 环境 中 传递 的 数据 仅仅 传送 给 一 个 目标 接 
收 者 是 不 可 能 的 。 另 一 方面 ,由 于 无 线 移动 设备 在 存储 能 力 、 计 算 能 力 和 电源 供电 时 间 方 面 
的 局 限 性 ,使 得 原来 在 有 线 环境 下 的 许多 安全 方案 和 安全 技术 不 能 直接 应 用 于 无 线 环境 , 例 
如 防火 墙 对 通过 无 线 电 波 进行 的 网 络 通信 起 不 了 作用 ,任何 人 在 区 域 范围 之 内 都 可 以 截获 
和 插入 数据 ,计算 量 大 的 加 密 / 解 密 算 法 不 适宜 用 于 移动 设备 等 。 因 此 ,需要 研究 新 的 适合 
于 无 线 网 络 环境 的 安全 理论 .安全 方法 和 安全 技术 。 

与 有 线 网 络 相 比 ,无 线 网 络 所 面临 的 安全 威胁 更 加 严重 。 所 有 常规 有 线 网 络 中 存在 的 
安全 威胁 和 隐患 都 依然 存在 于 无 线 网 络 中 ; 外 部 人 员 可 以 通过 无 线 网 络 绕 过 防火 墙 ,对 专 
用 网 络 进行 非 授 权 访问 ; 无 线 网 络 传输 的 信息 容易 被 窃取 、 自 改 和 插入 ; 无 线 网 络 容 易 受 
到 拒绝 服务 攻击 和 干扰 ; 内 部 员工 可 以 设置 无 线 网 卡 以 端 对 端 模式 与 外 部 员工 建立 连接 。 
此 外 ,无 线 网 络 的 安全 技术 相对 比较 新 ,安全 产品 还 比较 少 。 以 无 线 局 域 网 为 例 ,移动 节点 、 
AP 等 每 一 个 实体 都 有 可 能 是 攻击 对 象 或 攻击 者 。 由 于 无 线 网 络 在 移动 设备 和 传输 媒介 方 
面 的 特殊 性 ,使 得 一 些 攻击 更 容易 实施 ,对 无 线 网 络 安全 技术 的 研究 比 有 线 网 络 的 限制 更 
多 、 难 度 更 大 。 

无 线 网 络 在 信息 安全 方面 有 着 与 有 线 网 络 不 同 的 特点 ,具体 表现 在 以 下 几 个 方面 。 


1. 无 线 网 络 的 开放 性 导致 其 更 容易 受到 攻击 

无 线 链 路 使 得 网 络 更 容易 受到 从 被 动 窃听 到 主动 干扰 的 各 种 攻击 。 有 线 网 络 的 网 络 连 
接 是 相对 固定 的 ,具有 确定 的 边界 ,攻击 者 必须 物理 接 和 网络 或 经 过 几 道 防线 ,如 防火 墙 和 
网 关 ,才能 进入 有 线 网 络 。 这 样 通过 对 接 人 端口 的 管理 可 以 有 效 地 控制 非法 用 户 的 接 入 。 
而 无 线 网 络 则 没有 一 个 明确 的 防御 边界 ,攻击 者 可 能 来 自任 意 节点 ,每 个 节点 必须 面 对 攻击 
者 的 直接 或 间接 的 攻击 。 无 线 网 络 的 这 种 开放 性 带 来 了 非法 信息 截取 、 未 授权 信息 服务 等 
一 系列 的 信息 安全 问题 。 


2. 无 线 网 络 的 移动 性 使 得 安全 管理 难度 更 大 

有 线 网 络 的 用 户 终 端 与 接 人 设备 之 间 通 过 线 缆 连 接 ,终端 不 能 在 大 范围 内 移动 ,对 用 户 
的 管理 比较 容易 。 而 无 线 网 络 终端 不 仅 可 以 在 较 大 范围 内 移动 ,而 且 还 可 以 跨 区 域 漫游 ,这 
意味 着 移动 节点 没有 足够 的 物理 防护 ,从 而 易 被 窃听 、 破 坏 和 劫持 。 攻 击 者 可 能 在 任何 位 置 
通过 移动 设备 实施 攻击 ,而 在 全 球 范围 内 跟踪 一 个 特定 的 移动 节点 是 很 难 做 到 的 。 男 一 方 
面 , 通 过 网 络 内 部 已 经 被 和 人 侵 的 节点 实施 攻击 而 造成 的 破坏 更 大 ,更 难 检测 。 因 此 ,对 无 线 
网 络 移动 终端 的 管理 要 困难 得 多 ,无线 网 络 的 移动 性 带 来 了 新 的 安全 管理 问题 ,移动 节点 及 
其 体系 结构 的 安全 性 更 加 脆弱 。 
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3. 无 线 网 络 动态 变化 的 拓扑 结构 使 得 安全 方案 的 实施 难度 更 大 


有 线 网 络 具 有 固定 的 拓扑 结构 ,安全 技术 和 方案 容易 实现 。 而 在 无 线 网 络 环境 中 ,动态 
的 、 变 化 的 拓扑 结构 ,缺乏 集中 管理 机 制 , 使 得 安全 技术 更 加 复杂 。 男 一 方面 ,无 线 网 络 环境 
中 做 出 的 许多 决策 是 分 散 的 ,而 许多 网 络 算法 必须 依赖 所 有 节点 的 共同 参与 和 协作 。 缺 乏 
集中 管理 机 制 意 味 着 攻击 者 可 能 利用 这 一 弱点 实施 新 的 攻击 来 破坏 系统 。 


4. 无 线 网 络 传输 信号 的 不 稳定 性 带 来 无 线 通信 网 络 的 鲁 棒 性 问题 


有 线 网 络 的 传输 环境 是 确定 的 ,信号 质量 稳定 ,而 无 线 网 络 随 着 用 户 的 移动 其 信道 特性 
是 变化 的 ,会 受到 干扰 、 衰 落 和 多 径 等 多 方面 的 影响 ,造成 信号 质量 波动 较 大 ,其 至 无 法 进行 
通信 。 因 此 ,无 线 网 络 传输 信道 的 不 稳定 性 带 来 了 无 线 通信 网 络 的 鲁 棒 性 问题 。 

此 外 ,移动 计算 引入 了 新 的 计算 和 通信 行为 ,这 些 行为 在 固定 或 有 线 网 络 中 很 少 出 现 。 
例如 ,移动 用 户 通信 能 力 不 足 ,其 原因 是 链 路 速度 慢 、 带 宽 有 限 、 成 本 较 高 .电池 能 量 有 限 等 ， 
而 无 连接 操作 和 依靠 地 址 运行 的 情况 只 出 现在 移动 无 线 环境 中 。 因 此 ,有 线 网 络 中 的 安全 
措施 不 能 对 付 基 于 这 些 新 的 应 用 而 产生 的 攻击 。 

总 之 ,无 线 网 络 的 脆弱 性 是 由 于 其 媒体 的 开放 性 、 终 端的 移动 性 ,动态 变化 的 网 络 拓扑 
结构 ,协作 算法 、 缺 乏 集中 监视 和 管理 点 ,以 及 没有 明确 的 防线 造成 的 。 因 此 ,在 无 线 网 络 环 
境 中 ,在 设计 实现 一 个 完善 的 无 线 网 络 系统 时 ,除了 考虑 在 无 线 传输 信道 上 提供 完善 的 移动 
环境 下 的 多 业务 服务 平台 外 ,还 必须 考虑 其 安全 方案 的 设计 ,这 包括 用 户 接 入 控制 设计 、 用 
户 身份 认证 方案 设计 、 用 户 证 书 管理 系统 的 设计 、 密 钥 协 商 及 密 钥 管 理 方案 的 设计 等 。 其 中 
保密 性 和 认证 技术 是 关键 。 

无 线 网 络 环境 中 安全 威胁 的 具体 表现 主要 如 下 。 

。 攻击 者 伪装 成 合法 用 户 ,通过 无 线 接 和 人 非法 访问 网 络 资源 。 

。 无 线 链 路 上 传输 的 未 被 加 密 的 数据 被 攻击 者 截获 。 
针对 无 线 连 接 或 设备 实施 拒绝 服务 攻击 。 

。 不 适当 的 数据 同步 可 能 破坏 数据 的 完整 性 。 

。 恶意 实体 可 能 得 到 合法 用 户 的 隐私 。 

。 手持 设备 容易 丢失 ,从 而 泄露 敏感 信息 。 

。 设备 的 不 适当 配置 可 能 造成 数据 的 泄露 。 

。 恶意 用 户 可 能 通过 无 线 网 络 连 接 到 他 想 攻击 的 网 络 上 去 实施 攻击 。 

。 恶意 用 户 可 能 通过 无 线 网 络 , 获 得 对 网 络 的 管理 控制 权限 。 

要 实现 信息 的 机 密 性 、 完 整 性 、 可 用 性 及 资源 的 合法 使 用 这 4 个 基本 安全 目标 ,必须 采 
取 相 应 的 安全 措施 对 付 4 种 基本 安全 威胁 , 即 信息 泄露 .完整 性 破坏 .拒绝 服务 和 非法 使 用 。 

在 安全 威胁 中 ,任何 一 种 威胁 的 实现 都 会 直接 导致 基本 威胁 的 产生 。 在 无 线 网 络 环境 
下 ,安全 威胁 包括 无 授权 访问 、 窃 听 、 伪 装 、 自 改 、 重 放 、 错 误 路 由 、 删 除 消息 和 网 络 洪 泛 
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(flooding) 等 。 

由 于 受到 以 上 所 提 到 的 安全 威胁 ,从 而 会 导致 一 定 的 安全 风险 ,如 信息 窃取 , 非 授 权 使 
用 资源 .窃取 服 务 和 拒绝 服务 等 。 导 致 信息 窃取 的 安全 威胁 有 非 授权 访问 、 伪 装 和 窃听 。 导 
致 非 授权 使 用 资源 的 安全 威胁 有 非 授权 访问 、 伪 装 、 算 改 信 息 、 重 放 、 重 路 由 或 错误 路 由 消息 
等 。 导 致 窃取 服务 的 安全 威胁 有 非 授 权 访 问 、 伪 装 、 算 改 信息 、 否 认 、 重 放 攻 击 、 重 路 由 、 错 误 
路 由 或 删除 消息 。 导 致 拒绝 服务 的 安全 威胁 有 非 授权 访问 ,伪装 、 破 坏 资 源 管理 信息 、 重 路 
由 、 错 误 路 由 或 删除 消息 、 网 络 flooding 等 。 


9.2 ”常用 无 线 局 域 网 安全 技术 


9.2.1 传统 安全 措施 


无 线 网 络 面临 的 安全 性 挑战 是 由 于 无 线 网 络 的 自身 特性 而 产生 的 。 在 有 线 网 络 中 ,有 
线 设 备 中 传输 的 数据 具备 固有 的 安全 性 。 潜 在 的 攻击 者 必须 通过 有 线 连 接 至 电缆 设备 并 受 
到 其 他 安全 手段 的 防范 。 当 网 络 中 没有 连 线 时 ,网 络 用 户 获 得 的 自由 同样 扩展 到 了 潜在 的 
攻击 者 手中 ,无 线 网 络 的 安全 性 受到 严重 威胁 。 为 此 ,IEEE 802. 11b 从 一 开始 就 已 经 提供 
了 一 些 基 本 的 安全 保障 机 制 来 降低 潜在 安全 威胁 带 来 的 影响 。 

无 线 局 域 网 的 开放 性 要 求 对 无 线 主 机 和 接 入 点 (或 者 无 线路 由 器 ) 进 行 身份 认证 ,防止 
非法 的 用 户 及 非法 的 接 入 点 ,以 及 保障 传输 数据 的 完整 性 和 保密 性 。 针 对 这 些 要 求 ,IEEE 
802. 11 提出 了 服务 集 ID(service set identifier, SSID)、MAC 层 认 证 和 有 线 等 效 保密 协议 
(wire equivalent privacy,WEP) ,以 及 MAC 地 址 过 滤 技 术 等 基本 安全 机 制 , 用 来 保障 无 线 
局 域 网 的 数据 传输 安全 。 

IEEE 802. 11b 可 以 利用 设置 无 线 终端 访问 的 服务 集 ID 来 限制 非法 接 人 。 每 个 AP 上 
设置 一 个 服务 区 域 认证 ID , 当 无 线 终端 设备 要 连接 AP 时 ,AP 会 检查 其 SSID 是 否 与 自己 
的 ID 一 致 ,只 有 当 AP 和 无 线 终端 的 SSID 相 匹 配 时 ,AP 才 接 受 无 线 终端 的 访问 并 提供 网 
络 服务 ,如果 不 符 就 拒绝 给 予 服务 。 利 用 SSID 可 以 很 好 地 进行 用 户 群 体 分 组 ,避免 任意 漫 
游 带 来 的 安全 和 访问 性 能 的 问题 。SSID 提供 了 一 个 标志 无 线 局 域 网 边界 的 方法 ,所 有 
SSID 相同 的 无 线 设 备 处 于 一 个 无 线 网 络 内 。 因 此 不 知道 SSID 是 无 法 访问 特定 的 无 线 局 
域 网 的 。SSID 是 一 种 简单 的 安全 认证 接 人 方法 ,基本 的 原理 就 是 把 允许 人 网 的 标识 发 送 给 
提供 服务 的 网 络 ,实现 网 络 对 终端 的 认证 。 

802. 11 标准 提供 一 种 简单 的 MAC 层 的 安全 认证 机 制 , 包 括 两 种 认证 模式 : 开放 系统 
认证 (open system) 和 共享 密 钥 认 证 (shared secret) 。 这 两 种 认证 模式 是 从 鉴别 无 线 站 点 或 
设备 的 角度 出 发 ,而 并 未 实施 对 用 户 身份 的 认证 。 在 基础 模式 结构 的 WLAN 中 认证 在 无 
线 站 点 和 AP 之 间 进 行 ,在 Ad-Hoc 模式 结构 的 WLAN 中 认证 在 两 个 无 线 站 点 间 进 行 。 
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802. 11 客户 端 站 点 的 认证 过 程 如 图 9. 3 所 示 。 


1. probe request 


2. probe response 
3. authentication request je Ey 
ee 4. authentication response 


客户 端 5. association request 


6. association response 


图 9.3 802.11 认证 过 程 


Q@ 无线 客户 端 在 每 个 信道 广播 探测 请 求 帧 (probe request) ,寻找 可 以 接 入 的 AP。 

@ 通信 范围 内 的 接 和 人 点 以 探测 响应 帧 (probe response) 应 答 。 

@ 无 线 客户 端 选择 信和 号 最 强 的 接 人 点 ,并 发 送 认 证 请 求 。 

@ 接 人 点 发 送 认 证 应 答 。 

@ 如 果 认 证 成 功 ,无 线 客 户 端 向 接 人 点 发 送 联合 请 求 (association request) 帧 。 

OO 接 入 点 以 联合 响应 (association response) 帧 应 答 。 

联合 成 功 后 ,无 线 客户 端 可 以 通过 接 入 点 访问 网 络 。 

开放 系统 认证 方式 非常 简单 ,本 质 上 是 一 个 空 的 认证 过 程 。 任 何 想 接 入 网 络 的 无 线 主 
机 都 可 以 通过 该 认证 过 程 ,只 要 无 线 主机 的 认证 模式 也 设 为 OpenSystem, 并 且 SSID 正确 
就 都 可 通过 AP 访问 网 络 。802. 11 的 默认 认证 方式 是 开放 系统 认证 方式 。 

共享 密 钥 认证 采用 WEP 实现 。WEP 是 所 有 经 过 Wi-Fi 认证 的 无 线 局 域 网 所 支持 的 
一 项 标准 功能 ,是 IEEE 802. 11b 协议 中 最 基本 的 无 线 安全 加 密 措施 ,是 802. 11 标准 中 用 
来 保护 无 线 传输 过 程 中 的 链 路 级 数据 的 协议 ,其 主要 用 途 是 提供 接 入 控制 ,防止 未 授权 用 户 
访问 网 络 。WEP 使 用 对 称 加 密 算法 对 数据 进行 加 密 , 防 止 数据 被 攻击 者 窃听 修改 或 伪造 。 

WEP 依赖 通信 双方 共享 一 个 秘密 密 钥 保护 传输 帧 中 的 用 户 数据 。 加 密 的 过 程 非常 简 
单 : 使 用 简单 的 密 钥 和 初始 化 向 量 按 一 定 的 规则 组 成 密 钥 序列 去 异 或 预 加 密 的 明文 和 明文 
的 CRC 校 验 组 合 。 

WEP 协议 提供 如 下 安全 服务 。 

。 保密 性 。 

。 访问 控制 : 802. 11 标准 中 包含 了 丢弃 不 正确 的 WEP 加 密 帧 的 选择 ,达到 访问 控制 
的 功能 。 

。 数据 完整 性 : 采用 CRC 校 验 防止 传输 信息 被 算 改 。 

WEP 利用 对 称 加 密 方案 ,在 数据 的 加 密 和 人 解密 过 程 中 使 用 相同 的 密 钥 和 算法 ,通过 防 
止 无 WEP 密 钥 的 非法 用 户 获 得 网 络 的 访问 权 来 实现 访问 控制 的 目的 ,并 通过 只 允许 有 正 
确 WEP 密 钥 的 用 户 对 WLAN 的 数据 进行 加 密 和 解密 来 达到 数据 保密 的 目的 。WEP 加 密 
采用 静态 的 保密 密 钥 , 它 利用 一 套 基 于 40 位 共享 加 密 秘 钥 的 RC4 加 密 算 法 对 网 络 中 所 有 
通过 无 线 传送 的 数据 进行 加 密 . 从 而 有 效 地 保护 数据 的 传输 。 各 WLAN 终端 使 用 相同 的 
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密 钥 访问 无 线 网 络 。 当 加 密 机 制 功能 启用 ,客户 端 要 尝试 连接 上 网 时 , 即 会 发 出 一 个 “挑战 ” 
消息 (challenge packet) 给 客户 端 ,客户 端 利用 共享 密 钥 将 此 值 加 密 后 送 回 AP 以 进行 认证 
比 对 ,结果 正确 才能 接 入 无 线 网 络 。 

WEP 协议 实现 的 关键 是 40 位 的 共享 加 密 密 钥 的 分 发 .RC4 加 密 算 法 的 实现 和 CHAP 


验证 算法 的 实现 。 
WEP 的 缺点 是 缺少 动态 密 钥 管理 及 加 密 自 身 的 安全 性 不 足 , 后 者 可 随时 间 的 推移 将 密 
钥 暴 露 给 攻击 者 。 


另 一 种 方法 是 MAC 地 址 过 滤 技 术 。 它 通过 检查 用 户 数据 包 的 源 MAC 地 址 来 认证 用 
户 的 可 信和 度 , 即 限制 接 入 终端 的 MAC 地 址 ,以 确保 只 有 经 过 注册 的 用 户 才 可 以 接 入 无 线 网 
络 。 由 于 每 一 块 无 线 网 卡 拥 有 唯一 的 MAC 地 址 ,在 AP 上 可 以 建立 一 张 <MAC 地 址 控制 
表 ”, 只 有 地 址 匹配 时 AP 才 人 允许 无 线 终端 接 入 。MAC 地 址 控制 可 以 有 效 防止 未 经 过 授权 
的 用 户 侵入 无 线 网 络 ,但 却 增加 了 网 络 管理 的 复杂 性 ,同时 也 给 用 户 接 人 网 络 带 来 了 不 便 ， 
因为 新 增 的 用 户 无 法 便利 地 接 人 网 络 ,并且 用 户 更 换 网 卡 或 无 线 终端 设备 后 需要 重新 接 人 
网 络 。 

MAC 地 址 过 滤 技术 并 不 是 IEEE 802. 11 中 规定 的 ,但 是 很 多 设备 供应 商都 支持 这 一 
用 户 认证 技术 , 即 为 无 线 局 域 网 的 每 一 个 接 入 点 设置 许可 接 入 的 用 户 的 MAC 地 址 清单 。 
MAC 地 址 不 在 清单 中 的 用 户 , 接 和 点 将 拒绝 其 接 和 人 请求 。 另 一 种 情况 是 ,MAC 地 址 清单 
集中 放置 在 后 台 认 证 服务 器 内 (如 RADIUS 服务 器 ), 每 当 用 户 申请 接 入 时 , 接 入 点 将 接 入 
请 求 转发 给 认证 服务 器 。 认 证 服务 器 通过 比 对 允许 接 入 的 地 址 列表 ,返回 允许 接 入 或 拒绝 
接 入 的 消息 。 

尽管 802. 11 标准 提供 了 以 上 一 些 基 本 的 安全 机 制 抵御 潜在 的 安全 威胁 ,但 其 提供 的 安 
全 性 有 限 和 安全 保障 能 力 有 限 , 这 是 因为 如 下 原因 。 

Q@ SSID 可 以 用 来 区 别 不 同 的 无 线 局 域 网 ,但 单 任 SSID 无 法 防止 非法 用 户 的 接 入 。 因 
为 SSID 是 预先 设置 的 ,保密 性 不 高 。 而 且 802. 11 协议 规定 的 一 种 用 户 接 人 方式 是 无 线 用 
户 监听 信道 接收 AP 定时 广播 的 SSID, 以 便于 用 户 找到 正确 的 网 络 。 这 种 方式 也 使 得 其 他 
用 户 可 以 轻易 地 发 现 可 用 的 SSID ,使 其 没有 SSID 仍 可 以 找到 网 络 。 即 使 不 进行 SSID 广 
播 ,攻击 者 同样 可 以 通过 网 络 嗅 探 和 数据 包 分 析 等 方法 得 到 该 网 络 的 SSID。 因 此 , 仅 依靠 
SSID 进行 用 户 认证 不 能 阻止 非法 入 侵 者 接 入 无 线 网 络 。 

@ MAC 地 址 过 滤 机 制 基于 WLAN 网 卡 都 有 一 个 出 厂 时 设 定 的 48 位 MAC 地 址 。 只 
需 在 每 个 AP 保存 一 份 合法 MAC 地 址 列表 ,只 有 在 列表 中 的 设备 才能 接 和 人 网络。 问题 在 
于 合法 MAC 地 址 列表 必须 及 时 更 新 。 一 旦 有 用 户 的 MAC 地 址 改变 ,管理 员 就 必须 更 新 
所 有 的 地 址 列表 以 适应 用 户 的 变化 。 在 拥有 成 百 台 设备 的 企业 应 用 环境 中 ,维护 列表 数据 
有 很 大 的 工作 量 。 同 时 ,MAC 地 址 过 滤 并 不 是 绝对 安全 。 攻 击 者 可 以 通过 监听 无 线 通 信 ， 
从 用 户 的 数据 中 得 到 合法 的 MAC 地 址 ,并 使 用 合法 的 MAC 地 址 来 实现 人 侵 。 因 此 ,MAC 
地 址 过 滤 适 用 于 规模 较 小 ,安全 级 别 不 是 很 高 的 网 络 。 
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@ 共享 密 钥 认证 。 由 于 使 用 WEP 加 密 算 法 ,其 认证 过 程 给 攻击 者 提供 了 轻松 获得 共 
享 密 钥 的 途径 : 在 共享 密 钥 认证 过 程 中 采用 明文 方式 传输 质询 文本 ; 并 且 传 输 经 过 WEP 
加 密 的 质询 文本 。 攻 击 者 通过 截取 这 两 段 数据 ,经 过 简单 的 XOR 运算 就 可 得 到 用 于 WEP 
加 密 和 人 解密 的 密 钥 流 ,只 要 再 获得 IV ,攻击 者 就 可 以 通过 RC4 算法 推算 出 WEP 加 密使 用 
的 共享 密 钥 。 由 WEP 算法 可 看 出 ,虽然 IV 的 存在 延长 了 密 钥 共享 密 钥 的 使 用 寿命 ,因为 
(Key,IV) 对 随 着 IV 的 变化 而 变化 ,增加 了 窃取 密 钥 的 难度 ,可 以 使 共享 密 钥 不 用 频繁 更 
换 。 但 IV 是 24 位 的 ,那么 RC4 可 以 使 用 的 IV 就 是 有 限 的 。 如 此 可 见 ,IV 的 重用 不 可 避 
免 。 如 果 攻 击 者 知道 两 个 用 相同 IV 加 密 的 信息 包 之 一 的 明文 ,就 可 以 对 这 两 个 信息 包 进 
行 解密 。 在 IV 的 选择 中 ,有 些 数字 在 RC4 加 密 算 法 中 效果 不 好 ,被 称 作 Weak IV。 使 用 低 
强度 IV 加密 的 数据 包 很 容易 经 过 一 定 的 运算 得 到 部 分 WEP 密 钥 。 因 此 ,通过 大 量 监 听 数 
据 , 攻 击 者 可 以 得 到 足够 的 Weak IV, 从 而 破解 出 WEP 密 钥 ,危及 网 络 安全 。 

@ 802.11 局 域 网 中 WEP 密 钥 的 管理 也 可 能 影响 到 网 络 的 安全 性 。802. 11 标准 提供 
了 使 用 WEP 密 钥 的 两 种 方案 : 一 种 是 提供 一 个 包含 4 个 密 钥 的 窗口 。 无 线 站 点 或 AP 可 
以 用 这 4 个 密 钥 中 的 任何 一 个 来 加 密 或 解密 数据 包 , 但 传输 时 只 能 使 用 这 4 个 人 工 输入 的 
密 钥 中 的 一 个 , 即 默认 密 钥 。 第 二 种 方法 叫 密 钥 映射 表 。 在 这 种 方法 中 ,每 一 个 唯一 的 
MAC 地 址 可 以 拥有 一 个 独立 的 密 钥 ,使 用 每 一 用 户 的 独立 密 钥 使 其 他 人 很 难 针 对 密 钥 进 
行 攻 击 。 但 是 ,由 于 密 钥 只 能 手工 改变 ,实施 合理 的 密 钥 管理 成 为 一 个 重要 和 困难 的 问题 。 

根据 以 上 的 分 析 可 知 ,由 于 无 线 网 络 的 固有 特性 和 802. 11 在 安全 管理 方面 的 欠缺 ,无 
线 局 域 网 没有 可 靠 的 安全 保障 ,可 能 受到 多 种 类 型 的 网 络 黑客 的 攻击 ,如 欺诈 访问 点 (合法 
的 移动 用 户 可 能 会 通过 非法 的 访问 点 接 人 网 络 ,造成 严重 后 果 )。 未 通过 授权 就 使 用 网 络 资 
源 也 是 对 无 线 网 络 安全 的 威胁 之 一 ,采用 和 良好 的 认证 机 制 (如 802. 1x) 可 以 解决 这 个 问题 。 
此 外 ,还 存在 拒绝 服务 攻击 `MAC 地 址 欺骗 、 会 话 劫持 、 流 量 分 析 及 偷 听 等 威胁 。 


9.2.2 增强 安全 机 制 


1. 802. 1x 认证 机 制 


802. 1x 是 基于 IEEE 标准 的 网 络 认 证 框架 。 它 不 仅 限于 无 线 网 络 , 还 可 以 用 于 高 端 有 
线 LAN 设备 上 。802. 1x 利用 RADIUS( 远 程 身份 验证 拨 入 用 户 服务 ) 网 络 身 份 验证 和 授权 
服务 验证 客户 端的 身份 。802. 1x 使 用 EAP 解决 不 同 组 件 间 的 身份 验证 问题 ,并 生成 保护 
客户 端 与 网 络 访问 的 密 钥 。 

802. 1x 要 求 无 线 工 作 站 安装 802. 1x 客户 端 软 件 , 无 线 访问 点 要 内 柑 802. 1x 认证 代理 , 同 
时 它 还 作为 RADIUS 客户 端 ,将 用 户 的 认证 信息 转发 给 RADIUS 服务 器 。802. 1x 除 提供 端口 
访问 控制 能 力 之 外 ,还 提供 基于 用 户 的 认证 及 计 费 ,特别 适合 于 公共 无 线 接 人 解决 方案 。 

IEEE 802. 1x 本 身 并 不 提供 实际 的 认证 机 制 ,802. 1x 引入 PPP 协议 定义 的 扩展 认证 协 
议 EAP。 本 质 上 ,802. 1x 的 安全 接 入 是 建立 在 已 有 的 认证 技术 的 基础 上 引入 端口 控制 的 
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概念 。EAP 可 用 于 多 种 基于 密码 、 公 钥 证 书 或 其 他 凭据 的 不 同 身份 验证 方法 。 因 为 EAP 
是 一 种 可 插入 身份 验证 方法 ,因此 有 和 多 种 不 同 的 EAP 类 型 。 最 佳 的 EAP 类 型 实质 上 使 用 
加 密 来 保护 身份 验证 会 话 , 并 能 在 认证 过 程 中 动态 生成 用 于 加 密 的 密 钥 。 不 同 的 基于 802. 1x 
的 WLAN 安全 解决 方案 提供 不 同 的 EAP 类 型 及 不 同 级 别 的 保护 。 这 些 解决 方案 在 各 操 
作 系 统 和 网 络 硬件 供应 商 中 有 不 同 的 支持 级 别 。EAP、 基 于 802. 1x 的 身份 验证 和 网 络 访 
问 只 是 构成 安全 认证 解决 方案 的 一 部 分 。 


2. IEEE 802. 11i 与 WPA 


WEP 协议 在 终端 接 入 和 数据 传输 两 方面 都 采取 了 安全 措施 ,但 是 WEP 采用 的 是 静态 
密 钥 ,而 且 同 一 个 服务 区 内 使 用 的 是 同一 个 密 钥 ,存在 很 大 的 安全 隐患 。 由 于 WEP 缺少 足 
够 的 安全 性 ,从 而 延缓 了 无 线 局 域 网 在 许多 企业 中 的 广泛 采用 。 为 了 帮助 提高 无 线 局 域 网 
的 安全 性 ,IEEE 802. 11 工作 组 成 立 了 802. 11i 任务 组 ,为 802. 11 标准 开发 安全 升级 。 
802. 11i 任务 小 组 围绕 基于 802. 1x 端口 认证 为 用 户 和 设备 认证 开发 802. 11i 标准 ,包括 两 
项 重要 内 容 ， Wi-Fi 保护 接 入 WPA(CWi-Fi Protected Access) 和 强健 的 安全 网 络 (robust 
security network ,RSN ) 。 

WPA 是 Wi-Fi 联盟 提出 的 统一 和 改进 无 线 网 络 安全 的 策略 。WPA 集合 了 一 套 安 全 
功能 ,它们 在 一 定 程度 上 增强 了 WLAN 的 安全 性 。WPA 支持 强健 的 加 密 , 从 而 使 发 现 加 
密 密 钥 更 为 困难 。 

IEEE 802. 11i 采用 动态 密 钥 , 当 一 台 接 和 点 设备 与 无 线 客户 端 设备 完成 第 一 次 会 话 
后 ,能 够 自动 生成 下 一 次 会 话 所 需 的 128 位 加 密 密 钥 。 这 样 就 保证 了 每 个 网 络 用 户 和 每 次 
网 络 会 话 所 使 用 的 密 钥 都 是 唯一 的 ,而 且 是 动态 分 配 的 。 

IEEE 802. 11i 标准 草案 中 主要 包含 加 密 技术 : TKIP(temporal key integrity protocol) 
和 AES(advanced encryption standard) 。 

。 TKIP: 新 一 代 的 加 密 技 术 TKIP 与 WEP 一 样 基于 RC4 加 密 算法 , 且 对 现 有 的 

WEP 进行 了 改进 ,在 现 有 的 WEP 加 密 引 擎 中 增加 了 “ 密 钥 细 分 "(每 发 一 个 包 重 新 
生成 一 个 新 的 密 钥 )“ 消 息 完 整 性 检查 ”“ 具 有 序列 功能 的 初始 向 量 " 和 “ 密 钥 生 成 
和 定期 更 新 ”4 种 算法 ,增强 了 加 密 安 全 强度 。 
。 AES: IEEE 802. 11i 中 还 定义 了 一 种 基于 “高 级 加 密 标准 ”AES 的 加 密 算法 ,以 实施 
更 强大 的 加 密 和 消息 完整 性 检查 。AES 是 一 种 对 称 的 块 加 密 技术 ,提供 比 WEP/ 
TKIP 中 RC4 算法 更 高 的 加 密 性 能 ,为 无 线 网 络 带 来 更 强大 的 安全 防护 。WPA 相 
对 WEP 来 说 在 身份 认证 算法 上 作 了 改进 并 增强 了 加 密 算法 。 系 统 的 关键 是 动态 
密 钥 和 加 密 算法 的 更 新 。 

其 中 ,TKIP 是 WPA 中 为 了 改进 WEP 的 安全 性 而 使 用 的 加 密 协议 和 算法 。 它 改变 了 
密 钥 生成 方式 ,通过 更 频繁 地 变换 密 钥 来 获得 安全 ,还 增加 了 消息 完整 性 检查 功能 来 防止 数 
据 包 伪造 。 
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RSN 是 接 人 点 与 移动 设备 之 间 的 动态 协商 认证 和 加 密 算法 。802. 11i 草案 标准 中 建议 
的 认证 方案 是 基于 802. 1x 和 扩展 认证 协议 EAP 的 ,加 密 算 法 则 为 高 级 加 密 标 准 AES。 动 
态 协商 认证 和 加 密 算 法 使 RSN 可 以 不 断 演进 ,与 最 新 的 安全 水 平 保持 同步 ,增加 算法 降低 
新 的 安全 威胁 ,并 不 断 提供 保护 无 线 局 域 网 传输 的 信息 所 需要 的 安全 性 。 

由 于 采用 动态 协商 .802. 1x、EAP 和 AES,RSN 比 WEP 和 WPA 可 靠 得 多 。 但 RSN 
不 能 很 好 地 在 遗留 设备 上 运行 ,只 有 最 新 的 设备 才 拥 有 加 快 算法 在 客户 机 和 接 入 点 中 运行 
所 需 的 硬件 ,提供 无 线 局 域 网 产品 所 期 望 的 高 性 能 。 

WPA 可 以 把 遗留 设备 的 安全 性 提高 到 可 接受 水 平 ,而 RSN 则 是 提高 802. 11 无 线 传输 安 
全 性 的 更 高 级 的 技术 。 目 前 ,最 新 的 Microsoft 产品 支持 WPA ,并 提供 WEP 和 动态 密 钥 一 
起 使 用 的 方法 ,从 而 提高 WLAN 的 安全 性 。WPA 和 动态 WEP 选项 都 支持 使 用 802. 1x 和 
EAP 来 提供 基于 密码 或 基于 证 书 的 身份 验证 。 


3. WiMAX 安全 机 制 

在 802. 16D3 版 本 中 ,主要 是 通过 在 MAC 层 中 定义 了 一 个 保密 子 层 来 提供 安全 保障 
的 。 保 密 子 层 主要 包括 两 个 协议 : 数据 加 密封 装 协议 和 密 钥 管 理 协议 。 其 中 ,数据 加 密封 
装 协议 定义 了 IEEE 802. 16 支持 的 加 密 套件 , 即 数据 加 密 与 完整 性 验证 算法 ,以 及 对 MAC 
帧 应 用 这 些 算 法 的 规则 。 而 密 钥 管理 协议 定义 了 从 基站 向 用 户 工作 站 分 发 密 钥 数据 的 安全 
方式 ,两 者 之 间 密 钥 数 据 的 同步 及 对 接 人 网 络 服务 的 限制 。802. 16D3 版 本 安全 机 制 的 主要 
工作 流程 如 下 。 

Q@ 工作 站 向 基站 发 送 一 个 认证 信息 消息 。 该 消息 包含 厂商 的 X. 509 证 书 。 

@ 工作 站 向 基站 发 送 授权 请 求 消息 。 该 消息 包括 生产 商 发 布 的 X. 509 证 书 , 基 站 所 支 
持 的 加 密 算法 及 基站 的 基本 连接 ID。 

@ 基站 验证 工作 站 的 身份 ,决定 加 密 算法 ,并 为 工作 站 激活 一 个 授权 密 钥 (authorization 
key,AK) 。 

@ 基站 将 AK 用 工作 站 的 公 钥 加 密 后 返回 给 工作 站 。 

@@ 工作 站 定时 发 送 授权 请 求 消息 给 基站 来 更 新 AK。 

另外 , 随 着 AK 的 交换 ,基站 建立 了 工作 站 的 身份 认证 及 工作 站 授权 接 和 人 的 服务 。 亦 即 
在 基站 和 工作 站 之 间 建 立 了 某 种 安全 关联 。 安 全 关联 是 基站 和 一 个 或 多 个 工作 站 间 共 享 的 
一 组 安全 信息 ,目的 是 为 了 支持 IEEE 802. 16 网 络 间 的 安全 通信 。 安 全 关联 可 以 包括 用 来 
加 密 数 据 流 的 密 钥 和 初始 化 向 量 。 故 在 获得 授权 后 ,工作 站 应 该 向 基站 请 求 加 密 密 钥 
TEK ,流程 如 下 。 

Q@ 工作 站 向 基站 发 送 加 密 密 钥 请 求 消息 。 

@ 基站 在 收 到 该 消息 后 ,生成 TEK .并 通过 密 钥 回应 消息 发 送 给 工作 站 。 

@ 工作 站 定时 发 送 密 钥 请 求 消息 给 基站 更 新 TEK。 

802.16D3 版 本 安全 机 制 采 用 的 是 单 向 认证 ,而 且 认 证 机 制 缺乏 扩展 性 。 认 证 机 制 只 
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基于 X. 509 证 书 , 因 此 缺乏 扩展 性 ,没有 抗 重 放 攻 击 保护 。 另 外 ,在 802. 16D3 版 本 对 数据 
的 加 密 采 用 的 是 DES-CBS 算法 ,这 种 算法 的 密 钥 长 度 只 有 56 位 ,容易 遭受 到 穷 举 攻击 。 

802.16E 对 D3 版 本 安全 机 制 进行 了 完善 。802. 16E 是 802. 16 工作 组 标准 , 它 为 了 解 
决 802. 16 中 原 有 安全 机 制 存在 的 问题 ,引入 了 基于 EAP 协议 的 认证 机 制 ,以 解决 单 向 认证 
和 认证 机 制 缺乏 扩展 性 的 问题 。 同 时 , 它 还 引入 了 AES-CCM 数据 加 密 协 议 。AES-CCM 
是 基于 AES 的 CCM 模式 ,以 解决 D3 版 本 中 安全 机 制 缺乏 抗 重 放 保护 和 加 密 算 法 本 身 不 
安全 的 问题 。 


9.3 802. 11X 认证 机 制 


802. 11 标准 采用 的 认证 机 制 更 多 着 眼 于 无 线 局 域 网 的 连通 性 ,在 验证 无 线 主机 或 用 户 
的 身份 方面 没有 相应 的 规定 。 对 企业 级 无 线 局 域 网 的 应 用 来 讲 , 需 要 有 一 种 支持 集中 用 户 
认证 的 新 的 认证 框架 来 弥补 802. 11 标准 本 身 的 不 足 。 

IEEE 802. 11 委员 会 为 802. 11 标准 提出 了 称 为 健壮 安全 网 络 (robust security 
network, RSN) 的 安全 架构 。RSN 采用 802. 1x 标准 提供 接 人 控制 .认证 和 密 钥 管理 。802. 1x 
标准 为 802. 11 标准 提供 了 以 下 的 安全 管理 措施 。 

。 用 户 身份 认证 。 

。 动态 密 钥 派生 。 

。 双向 认证 。 

802. 1x 是 开放 的 标准 ,提供 了 扩展 认证 方式 ,支持 使 用 智能 卡 (smart cards) 一 次 性 密 
人 码 (one-time passwords) 和 基于 证 书 的 认证 等 多 种 高 层 方式 。 


9.3.1 802. 1x 框架 结构 


IEEE 802. 1x 规定 了 三 种 实体 : 请 求 者 .认证 者 和 认证 服务 器 。 三 种 实体 之 间 的 通信 


关系 和 通信 协议 如 图 9. 4 所 示 。 
认证 者 (AP、 以 太 网 
交换 机 等 ) 


图 9.4 802.1x 的 三 种 实体 


用 RADIUS 
封装 EAP 


请 求 者 (以 太 网 EAPOL 


认证 服务 器 
(RADIUS 服务 器 等 ) 


卡 、 无 线 网 卡 等 ) 


802.3.802.5.802.11 


请 求 者 实体 是 指 想 使 用 由 认证 者 (如 交换 机 、 接 入 点 等 ) 提 供 的 网 络 服务 的 实体 , 即 被 认 
证 的 用 户 接 入 设备 。 认 证 者 一 般 为 接 入 控制 设备 ,如 AP 或 无 线路 由 器 等 ,在 接 入 设备 和 认 
证 服务 器 之 间 转 发 认证 信息 ,根据 认证 结果 设置 端口 状态 。 认 证 服务 器 是 对 请 求 访 问 网 络 
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资源 的 用 户 设备 进行 实际 认证 的 设备 ,常用 RADIUS 认证 服务 器 。 认 证 服务 器 可 以 是 本 地 
的 , 即 与 认证 者 位 于 同一 设备 上 ; 也 可 以 是 远程 的 ,通过 有 线 或 无 线 网 络 与 认证 者 进行 通信 。 

认证 系统 有 两 个 网 络 访问 端口 : 不 受 控 端口 和 受 控 端口 。 不 受 控 端 口 始 终 保持 连接 状 
态 , 只 能 通行 认证 信息 ; 受 控 端口 有 “授权 ”和 “未 授权 ”两 种 状态 ,可 以 通行 认证 信息 以 外 的 
数据 帧 。 

EAPOL 协议 在 认证 者 和 请 求 者 间 传 输 EPA 包 , 认 证 服务 器 和 认证 者 间 用 RADIUS 协 
议 通信 。EAP 信息 是 作为 RADIUS 协议 的 一 个 属性 被 传输 的 ,RADIUS 协议 是 在 AP 和 
RADIUS 服务 器 之 间 进 行 每 包 认 证 和 完整 性 检验 的 机 制 。RADIUS 协议 标准 要 求 三 个 实 
体 的 操作 遵循 特定 的 状态 机 顺序 。 状 态 机 的 执行 决定 包 的 发 送 顺序 .认证 过 程 的 成 功 或 失 
败 及 重 发 时 延 等 。 因 此 ,状态 机 是 整个 通信 安全 建立 的 关键 。 图 9. 5 所 示 为 受 控 端口 和 不 
受 控 端口 的 工作 方式 ,认证 者 实体 根据 认证 结果 控制 受 控 端口 的 状态 。 如 果 认 证 成 功 , 受 控 
端口 处 于 授权 状态 ,用 户 可 以 自由 访问 网 络 资源 。 否 则 ,端口 处 于 未 授权 状态 ,认证 系统 拒 
绝 向 该 用 户 提 供 接 入 服务 。 


认证 者 系统 
由 认证 系统 提供 的 服务 认证 者 实体 

I 
' /端口 示 授权 | 
四 1 
SS he J 

授权 /未 授权 

LAN 


图 9.5 基于 端口 认证 的 端口 结构 


在 本 无 线 自 组 织 网 实验 网 络 中 ,802. 1x 的 三 种 实体 具体 由 无 线 主机 、 无 线路 由 器 和 
RADIUS 认证 服务 器 组 成 。 

IEEE 802. 1x 标准 使 用 可 扩展 的 认证 协议 “可 扩展 ?的 意思 是 指 任何 认证 机 制 可 以 被 
封装 在 EAP 请 求 / 响 应 信息 包 内 ,因此 利用 该 协议 可 以 实现 较 广 泛 的 认证 机 制 。EAP 本 身 
是 为 PPP 认证 制定 的 一 个 通用 协议 ,其 特点 是 EAP 在 链 路 控制 (link control protocol， 
LCP) 阶 段 没有 选 定 一 种 认证 机 制 , 而 把 这 一 步 推迟 到 认证 阶段 。 

EAP 是 建立 在 请 求 /响应 通信 模型 之 上 的 ,EAP 工作 在 网 络 层 上 而 不 是 在 链 路 层 上 。 
因此 ,可 以 将 信息 转发 到 中 心 认证 服务 器 (如 RADIUS) 而 不 是 让 每 一 个 接 入 点 进行 认证 ， 
因而 有 更 大 的 灵活 性 。 在 认证 成 功 前 ,AP 必须 允许 EAP 信息 通过 ,为 了 实现 这 一 点 ,使 用 
了 前 面 所 述 的 双 端 口 模型 。 

EAP 并 不 是 一 个 具体 的 认证 方式 ,而 是 一 种 认证 协议 的 封装 格式 ,通过 使 用 EAP 封 
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装 ,客户 端 和 认证 服务 器 能 够 实现 对 具体 认证 协议 的 动态 协商 。 


1. EAP 数据 包 格 式 

EAP 数据 包 格 式 如 图 9. 6 所 示 。 在 该 数据 包 中 有 Code( 代 码 ) Identifier( 标 识 符 )、 
Packet Body Length( 数 据 包 长 度 ) .EAP Type(EAP 数据 包子 类 型 ) 和 Type-Data( 类 型 - 数 
据 )5 个 字段 域 ,各 域 都 按照 从 左 到 右 的 顺序 在 网 络 中 传送 。 


Code Identifiter | Packet Body Length 


EAP Type| Type Data 


图 9.6 EAP 数据 包 格 式 


(1) Code 字段 。 该 字段 为 一 个 字 节 长 度 ,表示 EAP 数据 包 类 型 。 如 果 收 到 的 数据 包 
Code 字段 不 是 有 效 值 , 则 丢弃 该 数据 包 。EAP 数据 包 的 Code 字段 值 分 配 如 下 。 

。 EAP-Request: EAP 认证 请 求 。 

。 EAP-Response: EAP 认证 响应 。 

。 EAP-Success: EAP 认证 成 功 。 

。 EAP-Failure: EAP 认证 失败 。 

(2) Identifier 字段 。 该 字段 为 一 个 字 节 长 度 ,用 于 匹配 请 求 与 应 答 。 认 证 者 系统 和 
RADIUS 服务 器 根据 Identifier 字段 值 可 检测 出 相同 请 求 者 系统 的 重复 请 求 ,对 重复 请 求 
不 加 处 理 直 接 丢弃 。 

(3) Packet Body Length 字段 。 该 字段 为 2 个 字 节 长 度 , 它 指 的 是 包含 代码 、 标 识 符 、 
长 度 、EAP 数据 包子 类 型 和 数据 域 在 内 的 总 长 度 。 超 出 长 度 域 的 部 分 被 看 作 填充 字 节 而 被 
忽略 。 在 请 求 者 系统 与 认证 者 系统 之 间 传 输 的 EAPOL 分 组 封装 EAP 数据 包 , 其 中 
EAPOL 的 长 度 字段 域 值 与 EAP 长 度 域 值 相同 ,以 后 将 详 述 EAPOL 报 文 结构 。 

(4) EAP Type 字段 。 该 字段 为 一 个 字 节 长 度 ,标识 EAP 数据 包 中 Data 字段 的 类 型 。 
EAP Type 字段 值 分 配 如 下 。 

。 Identity: 用 户 身 份 。 

。 Notification: 通知 。 

。 NAK Response: 无 应 答 。 

MD5 Challenge: MD5 质询 。 
One Time Password(OTP): 一 次 性 密码 。 

。 Generic Token CardCGEN) : 通用 令 牌 。 

(5) Type Data 字段 。 该 字段 域 长 度 不 定 , 不 同 的 EAP Type 对 应 不 同 的 Type Data 
值 。 用 户 身 份 的 Type Data 字段 域 可 以 是 用 户 名 ; 通知 的 Type Data 字段 域 携带 了 认证 者 
系统 给 请 求 者 系统 的 一 段 可 显示 的 信息 ; NAK 类 型 的 数据 包 指示 出 请 求 者 系统 请 求 的 认 
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证 类 型 不 被 认证 者 系统 接受 ,该 类 型 的 数据 包 仅 用 于 响应 数据 包 中 ; MD5 质询 的 Type 
Data 字段 域 是 MD5 的 质询 文本 。 

一 次 性 密码 类 型 的 请 求 数据 包 中 包含 了 OTP 质询 ,而 与 之 相对 应 的 响应 数据 包 中 包 
含 对 OTP 质询 的 应 答 ,NAK 类 型 的 应 答 指 示 出 客户 期 望 的 认证 机 制 类 型 。 


2. EAP 协议 的 交互 过 程 

EAP 认证 协议 是 一 个 用 于 PPP 认证 的 通用 协议 ,可 以 支持 多 种 认证 方法 。EAP 并 不 
在 链 路 建立 阶段 指定 认证 方法 ,而 是 把 这 个 过 程 推迟 到 认证 阶段 。 这 样 认 证 者 就 可 以 在 得 
到 更 多 的 信息 以 后 再 决定 使 用 什么 认证 方法 (如 智能 卡 、 一 次 性 密码 和 kerberos 等 多 种 认 
证 方法 ) 。 这 种 机 制 还 允许 PPP 认证 者 简单 地 把 收 到 的 认证 报 文 传递 给 后 方 的 认证 服务 
器 ,由 后 方 的 认证 服务 器 来 真正 实现 各 种 认证 方法 。 其 工作 过 程 如 图 9.7 所 示 。 


EAP Request/Identity 


RAD Acc Req(EAP ID) 


RAD Acc Chal(EAP Reql) 


RAD Acc Req(EAP Reql) 


RAD Acc Req(EAP ResqlN)| 


RAD Accept(EAP Succ) 或 
RAD Reject(EAP Fail) 


EAP Response/ldentity 


EAP Requestl 


EAP Responsel 


EAP RequestN 


EAP Succ/Failure 


EAPOL Key(optional) 


图 9.7 EAP 认证 交互 过 程 
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在 链 路 阶段 完成 以 后 ,认证 者 向 请 求 认证 的 用 户 发 送 一 个 或 多 个 EAP 请 求 报 文 (EAP 
request) 。 在 请 求 报 文中 通过 EAP 类 型 字段 (EAP type) 来 指明 认证 者 所 请 求 的 信息 类 型 ， 
如 请 求 认证 用 户 的 Identity、MD5 质询 文本 、 一 次 密码 COTP) 及 通用 令 牌 卡 等 。 典 型 情况 
下 ,认证 者 首先 发 送 一 个 Identity 请 求 报 文 (EAP request/identity) ,随后 再 发 送 其 他 的 请 求 
报 文 。 当 然 ,并 不 是 必须 要 首先 发 送 这 个 Identity 请 求 报 文 ,在 请 求 者 身份 已 知 的 情况 下 这 
个 步骤 可 以 跳 过 。 

请 求 认证 的 用 户 对 每 一 个 请 求 报 文 回应 一 个 应 答 报 文 。 和 请 求 报 文 类 似 ,应 答 报 文中 
也 包含 一 个 EAP 类 型 字段 ,与 请 求 报 文中 的 类 型 字段 相对 应 。 请 求 与 应 答 报 文成 对 出 现 和 
交换 ,直到 身份 和 信息 的 交换 过 程 结 束 。 

最 后 ,认证 者 通过 发 送 一 个 成 功 或 者 失败 的 报 文 结束 认证 过 程 。 


3. EAPOL 协议 

802. 1x 标准 在 认证 者 系统 和 请 求 者 系统 之 间 的 认证 消息 传递 采用 EAPOL(EAP on 
line) 封 装 EAP 数据 包 。EAPOL 数据 包 格 式 如 图 9. 8 所 示 ,包括 Ethernet Type( 以 太 网 类 
型 )、Protocol version( 协 议 版 本 )、Packet Type( 数 据 包 类 型 )、Packet Body Length( 数 据 包 
长 度 ) 和 Packet Body( 数 据 包 体 )5 个 字段 域 。 


Ethernet Type Protocol Version | Packet Type 


Packet Body Length Packet Body 


图 9.8 EAPOL 数据 包 格 式 


@ 以 太 网 类 型 字段 。 该 字段 域 为 2 个 字 节 长 度 , 以 太 网 类 型 值 为 0x888E, 指 示 该 数据 
包 为 EAPOL 类 型 。 

@ 协议 版 本 字段 。 该 字段 域 为 1 个 字 节 长 度 , 标 识 支持 的 EAPOL 协议 版 本 。 当 前 的 
EAPOL 协议 版 本 为 1。 

@ 数据 包 类 型 字段 。 该 字段 域 为 1 个 字 节 长 度 , 标 识 该 EAPOL 数据 包 的 类 型 。 如 果 
收 到 的 EAPOL 数据 包 的 类 型 不 是 有 效 值 , 则 丢弃 该 包 。 数 据 包 类 型 字段 域 值 的 分 配 如 下 。 

。 EAP-Packet: 认证 信息 帧 用 于 承载 认证 信息 。 

。EAPOL-Start: 认证 发 起 帧 。 

。 EAPOL-Logoff: 退出 请 求 帧 可 主动 终止 已 认证 状态 。 

。 EAPOL-Key: 密 钥 信 息 帧 支持 对 EAP 报 文 的 加 密 。 

。 EAPOL-Encapsulated-ASF-Alert: 用 于 支持 Alert Standard Forum ASF 的 Alerting 

消息 。 
其 中 ,认证 发 起 帧 EAPOL-Start 既 可 以 由 请 求 者 发 起 ,也 可 以 由 认证 者 发 起 。 
@ 数据 包 长 度 字段 。 该 字段 域 为 2 个 字 节 长 度 , 它 指 的 是 数据 包 体 的 长 度 , 如 果 没 有 
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数据 包 体 则 该 字段 域 值 为 0。 

@ 数据 包 体 。 该 字段 长 度 不 定 , 如 果 数 据 包 类 型 为 EAP-Packet、EAPOL-Key 或 
EAPOL-Encapsulated-ASF-Alert, 数 据 包 体 即 为 相应 类 型 的 数据 包 。 而 对 于 其 他 的 数据 包 
类 型 EAPOL-Start\EAPOL-Logoff ,该 字段 为 空 。 


9.3.2 802. 1x 安全 性 分 析 


虽然 IEEE 802. 1x 已 经 提供 了 更 高 层次 上 的 安全 ,但 仍然 存在 不 安全 的 因素 ,其 中 最 
主要 的 是 缺少 交互 认证 过 程 。 协 议 本 身 规 定 了 网 络 对 用 户 身份 的 认证 过 程 ,但 忽略 了 用 户 
判定 网 络 合法 性 的 过 程 。 

这 个 问题 源 于 状态 机 中 用 户 和 AP 的 异步 性 ,根据 802. 1x 标准 的 规定 , 仅 当 认证 成 功 
后 , 受 控 端口 才 处 于 接 通 状态 。 但 在 无 线 用 户 端 (请 求 者 ) ,其 受 控 端口 总 是 处 于 认证 成 功 后 
的 接 通 状态 。 而 认证 只 是 AP 对 无 线 用 户 端 的 单 向 认证 。 因 为 EAP 协议 本 身 是 单 向 认证 
的 , 即 无 线 网 络 通过 EAP 鉴别 无 线 用 户 的 合法 性 。 

由 于 802. 1x 的 单 向 认证 ,使 得 中 间 人 (man in the middle, MIM) 攻 击 成 为 可 能 ,如 图 9.9 
所 示 。 


认证 服务 器 


无 线 或 有 线 网 络 


己 802.11 
无 线 用 wu (9) 
802.11 


图 9.9 中 间 人 攻击 示意 图 


伪装 的 AP 


攻击 者 处 于 无 线 用 户 和 AP 之 间 , 对 无 线 用 户 来 说 ,攻击 者 充当 AP, 而 对 于 AP 来 讲 它 
又 充当 无 线 用 户 端 。802. 1x 认证 状态 机 只 接收 用 户 的 EAP 响应 并 且 只 向 用 户 发 送 EAP 
请 求 信息 。 类 似 地 ,用户 状 态 机 不 发 送 任何 EAP 请 求 信 息 , 很 明显 ,状态 机 只 进行 单 向 认 
证 。 这 个 过 程 首 先 就 假定 了 AP 是 完全 合法 的 AP, 在 这 个 假定 下 的 认证 框架 是 不 安全 的 。 
一 个 简单 的 MIM 如 下 所 述 。 

当 收 到 来 自 认 证 服务 器 “接受 访问 (access accept)” 的 消息 后 ,认证 者 就 向 用 户 发 送 
EAP Success 信息 ,向 状态 机 表明 认证 已 成 功 完 成 ,如 果 没 有 使 用 更 高 层 的 认证 方法 (如 
EAP-TLS、EAP-MD5), 这 一 消息 并 不 包含 完整 性 检验 信息 。 在 用 户 状态 机 中 , EAP 
Success 会 触发 用 户 向 受 控 端口 传输 信息 而 不 用 考虑 当前 状态 。 简 而 言 之 , EAP 成 功 的 信 
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息 会 使 得 用 户 的 受 控 端 口 闭合 并 提供 网 络 连接 。 因 此 ,攻击 者 可 以 以 认证 者 的 身份 来 伪造 
这 一 信息 ,从 而 有 可 能 开始 一 个 简单 的 MIM 攻击 。 攻 击 者 因此 可 以 获得 来 自用 户 的 网 络 
通信 ,使 得 认证 机 制 不 起 作用 。 

男 一 种 攻击 方式 是 会 话 动 持 。 当 合法 用 户 认证 完成 后 ,攻击 者 窃取 AP 的 MAC 地 址 
向 无 线 用 户 发 送 一 个 802. 11 MAC 解除 关联 管理 帧 (disassociation) ,这 使 得 用 户 端 与 AP 
失去 关联 ,从 而 断 开 无 线 连 接 , 而 该 用 户 在 认证 者 上 的 802. 1x 状态 机 仍 处 于 已 认证 状态 。 
此 时 ,攻击 者 可 以 用 已 认证 的 用 户 端的 MAC 地 址 获取 网 络 访问 , 称 为 会 话 劫持 ,如 图 9. 10 
所 示 。 


非法 用 户 合法 用 户 AP 
EAP Start 


用 户 通过 认证 


攻击 者 冒 用 AP 
pg 地 址 Disassociation EAP Success 


网 络 流量 


图 9.10 会 话 劫持 示意 图 


由 以 上 分 析 可 以 看 出 , 单 向 认证 缺乏 对 每 个 数据 包 的 完整 性 检验 是 导致 中 间 人 攻击 和 
会 话 支持 攻击 的 主要 原因 。 因 此 ,只 要 在 协议 实现 中 对 这 两 个 缺陷 进行 相应 的 修补 ,就 能 使 
攻击 者 不 能 成 功 。 

802. 11 与 802. 1x 的 结合 并 不 能 提供 健壮 的 安全 无 线 环境 ,需要 有 高 层 的 清晰 的 交互 
认证 协议 来 加 强 。 而 且 802. 1x 也 为 实现 高 层 认 证 提供 了 基本 架构 ,扩展 认证 协议 EAP 可 
以 支持 多 种 高 层 认证 方式 。 


9.3.3 ”高 层 认 证 协议 


EAP( 扩 展 认 证 协议 ) 用 于 在 请 求 者 (无 线 用 户 ) 和 认证 服务 器 (RADIUS 或 其 他 服务 
器 ) 之 间 传 递 认证 信息 ,实际 认证 受 EAP 类 型 限制 和 控制 。 充 当 认 证 者 的 接 入 点 只 是 一 
允许 请 求 者 和 认证 服务 器 进行 通信 的 代理 。 

目前 ,IEEE 802. 1x 标准 可 以 使 用 多 种 EAP 认证 类 型 , 即 RFC 1994 和 RFC 2284 描述 
的 EAP-MD5; RFC 2716 描述 的 EAP-TLS(Microsoft); 基于 隧道 技术 的 EAP-TTLS 
(Funk); 微软 与 Cisco 开发 的 PEAP(Protected EAP 保护 EAP) 及 Cisco 的 LEAP(Cisco 
Wireless) 。 这 些 认证 协议 可 以 使 用 RADIUS 服务 器 统一 控制 管理 ,提供 动态 加 密 双 向 认 
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证 ,提高 无 线 局 域 网 的 安全 性 。 这 些 认证 协议 与 802. 11 和 802. 1x 等 协议 之 间 的 层次 结构 
如 图 9. 11 所 示 。 


MD5 TLS | |TTLS| |PEAP | Cs | 
EAP | 
人 
802.1x | 
1 人 
802.3 802.5 802.11 
以 太 网 令 牌 环 无 线 局 域 网 


图 9.11 802.1x 及 认证 协议 的 层 结构 


EAP-MD5 认证 是 一 种 提供 基本 级 别 的 EAP 支持 的 EAP 认证 类 型 。 对 于 无 线 局 域 网 
部 署 ,一般 建议 不 要 使 用 EAP-MD5 ,因为 可 以 导出 用 户 的 密码 。 

该 认证 类 型 通过 Radius 服务 器 提供 简单 的 集中 用 户 认证 。 在 这 种 方式 下 ,Radius 服 
务 器 不 需要 证 书 或 者 安装 在 无 线 工 作 站 中 的 其 他 安全 信息 。 用 户 注册 时 ,Radius 服务 器 只 
是 检查 用 户 名 和 密码 ,如 果 匹 配 ,就 通知 无 线 访问 点 允许 该 客户 端 访问 网 络 服务 。 

EAP-MD5 仅 提 供 单 向 验证 ,只 能 保证 客户 端 到 服务 器 的 认证 ,不 存在 无 线 客户 端 和 网 
络 的 相互 验证 。 同 时 ,EAP-MD5 无 法 根据 每 个 会 话 动态 派生 有 线 对 等 保密 (WEP) 密 钥 。 

EAP-TLS( 传 输 层 安 全 ) 提 供 了 基于 证 书 的 验证 及 无 线 客户 端 和 网 络 之 间 的 相互 认证 ， 
以 及 动态 会 话 密 钥 分 发 。 它 依赖 客户 端 和 服务 器 端的 证 书 来 执行 验证 ,并 可 用 来 动态 生成 
基于 用 户 的 和 基于 会 话 的 WEP 密 钥 ,以 保护 WLAN 客户 端 和 接 入 点 之 间 随 后 进行 的 
通信 。 

所 有 的 无 线 客户 端 及 服务 器 都 需要 事先 申请 一 个 标准 的 X. 509 证 书 并 安装 ,在 认证 的 
时 候 无 线 客户 端 和 服务 器 要 相互 交换 证 书 。 在 交换 证 书 的 同时 ,客户 端 和 服务 器 要 协商 出 
一 个 基于 会 话 的 密 钥 ,一 旦 认证 通过 .服务 器 将 会 话 密 钥 传 给 客户 端 并 通知 无 线 访问 点 允许 
该 客户 端 使 用 网 络 服务 。 

EAP-TLS 除了 在 连接 建立 时 主机 和 服务 器 之 间 分 配 的 会 话 号 (session ID) 之 外 , 它 需 
要 通过 安全 连接 在 客户 端 和 服务 器 端 事先 发 布 认证 证 书 。EAP-TLS 既 提 供认 证 ,又 提供 
动态 会 话 钥匙 分 发 。RADIUS 服务 器 需要 支持 EAP-TLS 认证 和 认证 证 书 的 管理 能 力 。 
TLS 支持 双向 认证 ,也 就 是 网 络 (EAP-TLS 服务 器 ) 认 证 终端 用 户 , 终 端 用 户 认 证 网 络 。 只 
有 在 双向 认证 通过 以 后 ,服务 器 将 向 接 入 认证 点 发 送 EAP-Success 消息 ,指示 用 户 终端 才 
可 以 收发 数据 流 。 这 个 消息 同时 触发 了 对 数据 流 的 加 密 , 在 加 密 密 钥 建立 之 前 ,终端 不 发 送 
数据 。 

EAP-TLS 的 一 个 缺点 是 ,必须 同时 在 客户 端 和 服务 器 端 管理 证 书 。 对 于 较 大 的 
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WLAN 安装 ,这 可 能 是 一 项 非常 繁重 的 任务 。 

目前 ,除了 专门 开发 的 软件 外 ,只 有 Windows XP 操作 系统 支持 EAP-TLS。 

EAP-TTLS( 隧 道 传输 层 安全 ) 是 由 Funk Software 和 Certicom 公司 开发 的 ,是 EAP- 
TLS 的 一 种 扩展 。 该 安全 方法 提供 了 一 种 基于 证 书 的 认证 方法 ,并 通过 加 密 的 通道 (或 “ 隧 
道 ”) 进 行 客户 端 和 网 络 的 相互 验证 ,还 提供 了 一 种 方法 来 根据 每 个 用 户 、 每 个 会 话 动态 派生 
WEP 密 钥 。 与 EAP-TLS 不 同 的 是 ,EAP-TTLS 只 需要 服务 器 端的 证 书 。 

LEAP( 轻 量 级 可 扩展 验证 协议 ) 是 一 种 主要 用 于 Cisco Aironet WLAN 中 的 EAP 验证 
类 型 。 它 使 用 动态 生成 的 WEP 密 钥 对 数据 传输 进行 加 密 ,并 支持 双向 验证 。Cisco 已 允许 
其 他 厂商 使 用 LEAP, 因 此 非 Cisco 适配器 也 可 以 使 用 LEAP。 

PEAP( 受 保护 的 可 扩展 验证 协议 提供 了 一 种 通过 IEEE 802. 11 无 线 网 络 安全 地 传输 
验证 数据 的 方法 ,包括 传统 基于 密码 的 协议 。PEAP 通过 在 PEAP 客户 端 和 验证 服务 器 之 
间 使 用 隧道 传输 来 实现 此 目的 。 与 隧道 传输 层 安 全 (tunneled transport layer security) 这 一 
竞争 力 的 标准 相同 ,PEAP 也 仅 使 用 服务 器 端的 证 书 验 证 无 线 LAN 客户 端 , 因 而 简化 了 安 
全 无 线 LAN 的 实施 和 管理 。Microsoft、Cisco 和 RSA Security 公司 共同 开发 了 PEAP。 
Cisco 的 LEAP 验证 服务 器 ACS 最 近 增 加 了 支持 PEAP 的 功能 。 

RFC 2716 描述 了 EAP TLS(transport layer security) 认证 协议 ,本 协议 是 基于 RFC 
2246 的 TLS 协议 制定 的 ,并 且 获 得 了 微软 公司 支持 的 认证 算法 。TLS 是 目前 Web 浏览 器 
使 用 的 安全 协议 , 它 的 前 身 是 安全 套 接 层 (secure socket layer,SSL) 。 

EAP-TLS 在 SSL v3.0 基础 上 制定 ,分 为 三 部 分 : TLS 握手 协议 (TLS handshake protocol)、 
TLS 记录 集 协议 (TLS record protocol) 和 TLS 告警 协议 (TLS alert protocol) 。 其 中 ,握手 
协议 用 来 协商 SSL 会 话 的 参数 。SSL 的 客户 和 服务 器 要 协商 协议 版 本 、 加 密 算法 、 互 相 认 
证 和 分 发 密 钥 。 记 录 集 协议 帮助 SSL 客户 和 服务 器 通过 安全 隧道 交换 加 密 的 数据 。 告 警 
协议 在 发 生 错误 时 通知 客户 和 服务 器 , 另 一 个 功能 是 会 话 终结 。 下 面 来 分 析 TLS 的 认证 
过 程 。 

TLS 认证 从 握手 (handshake) 开 始 : 首先 SSL 客户 端 向 服务 器 发 送 认 证 请 求 , 服 务 器 
将 数字 证 书 发 送 给 客户 ,客户 验证 收 到 的 证 书 数字 签名 的 合法 性 。 以 上 是 客户 端 认 证 服务 
器 , 接 下 来 服务 器 发 送 认 证 请 求 报 文 ,要 求 获得 客户 的 身份 信息 , 即 客户 侧 (client-side) 认 
证 。 客 户 将 自己 的 数字 证 书 发 送 给 服务 器 ,服务 器 验证 收 到 证 书 的 合法 性 。 如 果 以 上 两 次 
认证 都 成 功 ,客户 和 服务 器 协商 加 密 算法 。 协 商 完成 后 ,客户 就 可 以 通过 加 密 的 隧道 传输 
数据 。 

图 9. 12 中 描述 了 一 个 完整 的 EAP-TLS 交互 过 程 。 图 中 只 给 出 了 无 线 用 户 与 认证 者 
的 认证 报 文 交互 ,实际 上 无 线 用 户 送 到 认证 者 的 认证 报 文 都 被 认证 者 原样 打包 发 送 给 了 服 
务 器 ,认证 实际 在 无 线 用 户 与 服务 器 之 间 进 行 。 在 创建 PPP 链 路 的 LCP (link control 
protocol) 开 始 阶段 ,选择 使 用 EAP 认证 协议 ; 在 提交 用 户 身 份 信息 (identity) 后 开始 EAP- 
TLS 的 用 户 验证 过 程 。 
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沪 认证 终端 认证 者 江 


LCP Request-EAPauth 
LCP ACK-EAPauth 


EAP-Request/Identity 
一 
EAP-Response/Identity(My ID) 
| 
EAP-Request/EAP-Type=EAP-TLS(TLS Start) 
一 


EAP-Response/EAP-Type=EAP-TLS(TLS Client hello) 
EAP-Request/EAP-Type=EAP-TLS(TLS certificate_request) 
加 EAP-Reponse/EAP-Type=EAP-TLS(TLS certificate_verify) 
EAP-Request/EAP-Type=EAP-TLS(TLS finish) ”| 
EAP-Response/EAP-Type=EAP-TLS 
EAP-Success 


PPP Authentication Phase complete, NCP Phase starts 


图 9.12 一 次 成 功 的 EAP-TLS 认证 


客户 端 向 服务 器 发 送 hello 消息 ,服务 器 必须 回复 hello。 两 个 hello 消息 用 于 建立 安全 
的 会 话 ,hello 中 包含 协议 版 本 号 会话 有 D, 密 码 徐 和 压缩 方法 。 

hello 还 产生 两 个 随机 值 进行 交换 (ClientHello. random 和 ServerHello. random)。 

密 钥 交换 利用 以 下 4 个 消息 : 服务 器 /客户 证 书 、 服 务 器 /客户 密 钥 交换 (server certificate、 
Server key exchange client certificate 和 client key exchange) 。 

如 果 服 务 器 还 未 认证 ,服务 器 会 随同 hello 消息 一 起 发 送 其 证 书 。 有 需要 时 (如 服务 器 
无 证 书 ) 还 会 发 送 server key exchange( 服 务 器 密 钥 交换 ) 消 息 。 

如 果 服 务 器 已 经 认证 过 了 ,在 选择 的 密码 簇 支 持 的 情况 下 .服务 器 可 以 向 客户 要 求证 
书 , 此 时 服务 器 会 发 送 server hello done 消息 表示 握手 的 hello-message 阶段 结束 了 。 然 后 
服务 器 等 待 客户 的 响应 。 根 据 服务 器 的 请 求 , 客 户 发 送 证 书 和 client_key_exchange 消息 。 

然后 服务 器 和 客户 通过 change cipher spec 消息 协商 新 的 算法 、 密 码 等 。 至 此 ,TLS 握 
手 过 程 结束 ,服务 器 和 客户 可 以 开始 交换 应 用 层 数据 。 

在 此 过 程 中 通过 TLS 的 握手 协议 完成 密 钥 的 协商 ,详细 过 程 请 参考 RFC 2246 The 
TLS Protocol 及 RFC 2716 PPP EAP TLS Authentication Protocol 文档 。 

如 前 所 述 ,EAP-TLS 协议 是 802. 1x 可 以 采用 的 一 种 高 层 认 证 方式 ,用 EAP 实现 对 
TLS 的 封装 。EAP-TLS 除 提供 TLS 的 认证 功能 外 ,还 提供 分 段 和 重组 。 

TLS 是 一 种 交互 的 认证 方式 ,具有 完整 性 保护 的 密码 协商 和 密 钥 交换 。 认 证 系统 对 客户 
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身份 进行 认证 ,同时 ,客户 也 对 认证 系统 的 身份 进行 认证 。EAP-TLS 的 报 文 结构 如 图 9. 13 
所 示 , 除 了 EAP 头 之 外 ,TLS 拥有 一 些 自己 的 特殊 字段 ,如 标志 位 Flags 等 。 


Code Identifier Packet Body Length 
EAP Type Flags TLS Message Length 
TLS Message Length TLS Data 


图 9.13 EAP-TLS 数据 报 结构 


9.3.4 802. 1x 协议 技术 特点 


1. 协议 实现 比较 简单 


@ 从 网 络 协议 分 层 角度 来 看 ,IEEE 802. 1x 协议 工作 在 链 路 层 之 上 ,不 需要 到 达 网 络 
层 。 链 路 层 认 证 的 优势 突出 ,其 特点 是 快速 ,简单 和 成 本 低廉 。 多 数 的 链 路 层 协议 (如 PPP 
和 IEEE 802) 都 可 以 支持 基于 链 路 层 的 认证 技术 。 客 户 在 认证 之 前 不 需要 进行 服务 器 的 定 
位 ,不 需要 获得 IP 地 址 。 网 络 接 和 设备 只 需要 有 限 的 三 层 功 能 ,就 可 以 轻易 实现 和 AAA 
的 结合 ,从 而 提供 丰富 、 灵 活 的 认证 方式 和 计 费 手段 。 链 路 层 认证 处 理 减 小 了 认证 包 处 理 的 
延 时 ,保证 了 关键 性 应 用 的 服务 质量 。 

@ IEEE 802. 1x 的 链 路 层 认 证 方式 可 以 为 上 层 提供 一 个 平等 的 认证 平台 。 在 多 协议 
网 络 环境 中 ,基于 链 路 层 的 认证 可 以 实现 对 上 层 应 用 的 完全 透明 ,可 以 实现 和 新 的 网 络 层 协 
议 ( 如 IPv6) 的 兼容 。 高 层 的 认证 协议 ,或 者 相关 的 用 户 数据 信息 都 可 以 承载 在 该 平台 上 ， 
而 无 须 考 虑 下 层 的 传输 方式 。 综 上 所 述 , 链 路 层 的 认证 方式 的 优点 是 不 需要 对 设备 的 硬件 
进行 改动 ,通过 软件 升级 就 可 以 实现 新 的 认证 技术 引入 。 并 且 保 留 了 传统 AAA 认证 的 网 
络 架构 ,可 以 利用 现 有 的 RADIUS 设备 。 


2. 实现 了 认证 端口 和 业务 端口 分 离 


IEEE 802. 1x 的 认证 体系 结构 中 采用 了 受 控 端 口 和 不 受 控 端 口 的 逻辑 功能 ,从 而 可 以 
实现 业务 与 认证 的 分 离 。 由 RADIUS 服务 器 和 接 入 设备 利用 不 受 控 人 逻辑 端口 共同 完成 对 
用 户 的 认证 与 控制 ,业务 报 文 直接 承载 在 正常 的 二 层 报 文 上 通过 受 控 端口 进行 交换 ; 用 户 
通过 认证 后 ,业务 流 和 认证 流 实现 分 离 。 


3. 提供 安全 可 靠 的 认证 技术 

IEEE 802. 1x 在 二 层 网 络 上 结合 MAC 地 址 、 端 口 、 用 户 和 密码 等 实现 用 户 认证 。 在 无 
线 局 域 网 网 络 环境 中 ,IEEE 802. 1x 利用 EAP-TLS、EAP-TTLS 等 高 层 认 证 协议 ,可 以 实 
现 用 户 与 网 络 的 双向 认证 ,及 对 WEP 证 书 密 钥 的 动态 分 配 , 克 服 无 线 局 域 网 接 入 中 的 安全 
漏洞 。 
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4. 应 用 灵活 


IEEE 802. 1x 可 以 灵活 控制 认证 的 颗粒 度 , 用 于 对 单个 用 户 连 接 、 用 户 ID 或 者 是 对 接 
入 设备 进行 认证 。 认 证 的 层次 可 以 进行 灵活 的 组 合 , 满 足 特定 的 接 入 技术 或 者 是 业务 的 需 
要 ,并 且 易 于 运营 : 控制 流 和 业务 流 完全 分 离 , 易 于 实现 跨 平 台 多 业务 运营 。 

综合 以 上 的 特点 ,IEEE 802. 1x 标准 从 制定 以 来 逐渐 成 为 以 太 网 和 无 线 局 域 网 的 主要 
认证 协议 ,几乎 所 有 的 主流 数据 设备 厂商 在 其 设备 ,包括 路 由 器 、 交 换 机 和 无 线 AP 上 都 提 
供 对 该 协议 的 支持 。 在 客户 端 方面 ,微软 Windows XP 操作 系统 内 置 支持 ,Linux 也 提供 了 
对 该 协议 的 支持 。 


9.4 WAPI 


随 着 无 线 局 域 网 的 应 用 越 来 越 广泛 , 它 的 安全 问题 也 日 益 受 到 关注 ,很 多 组 织 都 在 探索 
新 的 途径 以 获得 更 强 的 WLAN 安全 保障 。2003 年 5 月 12 日 ,我 国 发 布 了 无 线 局 域 网 国家 
标准 GB 15629. 11, 本 方案 已 由 ISO/IEC 授权 的 机 构 IEEE Registration Authority (IEEE 
注册 权威 机 构 ) 审 查 并 获得 认可 ,分 配 了 用 于 WAPI 协议 的 以 太 网 类 型 字段 ,这 是 目前 我 国 
在 这 一 领域 唯一 获得 批准 的 协议 。 

该 标准 的 一 个 重要 组 成 部 分 就 是 由 宽带 无 线 IP 标准 工作 组 制定 的 新 的 安全 机 制 一 一 
无 线 局 域 网 鉴别 和 保密 基础 结构 (WLAN authentication and privacy infrastructure， 
WAPI) 。WAPI 主要 是 针对 IEEE 802. 11 中 WEP 协议 安全 漏洞 问题 而 提出 的 WLAN 安 
全 解决 方案 。 这 种 安全 机 制 由 WAICWLAN authentication infrastructure) 和 WPICWLAN 
privacy infrastructure) 两 部 分 组 成 .WAI 和 WPI 分 别 实现 对 用 户 身 份 的 鉴别 和 对 传输 数据 
的 加 密 。WAPI 能 为 用 户 的 WLAN 系统 提供 全 面 的 安全 保护 。 

WAPI 采 用 国家 密码 管理 委员 会 办 公 室 批准 的 公开 密 钥 密码 体制 的 椭圆 曲线 密码 算法 
和 秘密 密 钥 密码 体制 的 分 组 密码 算法 ,分 别 用 于 WLAN 设备 的 数字 证 书 、 密 钥 协 商 和 传输 
数据 的 加 解密 ,从 而 实现 设备 的 身份 鉴别 、 链 路 验证 .访问 控制 和 用 户 信息 在 无 线 传 输 状 态 
下 的 加 密 保护 。 

WAI 采 用 公开 密 钥 密码 体制 ,利用 证 书 来 对 WLAN 系统 中 的 STA 和 AP 进行 认证 。 
WAI 定义 了 一 种 名 为 ASU(authentication service unit) 的 实体 ,用 于 管理 参与 信息 交换 各 
方 所 需要 的 证 书 ( 包 括 证 书 的 产生 、 颁 发 .吊销 和 更 新 )。 证 书 里 面包 含有 证 书 颁发 者 
(CASU) 的 公 钥 和 签名 ,以 及 证 书 持 有 者 的 公 钥 和 签名 (这 里 的 签名 采用 的 是 WAPI 特有 的 
椭圆 曲线 数字 签名 算法 ) ,是 网 络 设备 的 数字 身份 凭证 

在 具体 实现 中 ,STA 在 关联 到 AP 之 后 ,必须 相互 进行 身份 鉴别 。 先 由 STA 将 自己 的 
证 书 和 当前 时 间 提 交 给 AP, 然 后 AP 将 STA 的 证 书 、 提 交 时 间 和 自己 的 证 书 一 起 用 自己 的 
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私 钥 形 成 签名 ,并 将 这 个 签名 连同 这 三 部 分 一 起 发 给 ASU。 

所 有 的 证 书 鉴别 都 由 ASU 来 完成 , 当 其 收 到 AP 提交 来 的 鉴别 请 求 之 后 ,会 先 验证 AP 
的 签名 和 证 书 。 当 鉴别 成 功 之 后 ,进一步 验证 STA 的 证 书 。 最 后 ,ASU 将 STA 的 鉴别 结 
果 信 息 和 AP 的 鉴别 结果 信息 用 自己 的 私 钥 进行 签名 ,并 将 这 个 签名 连同 这 两 个 结果 发 回 
给 AP。 

AP 对 收 到 的 结果 进行 签名 验证 ,并 得 到 对 STA 的 鉴别 结果 ,根据 这 一 结果 来 决定 是 
否 允 许 该 STA 接 入 。 同 时 AP 需要 将 ASU 的 验证 结果 转发 给 STA,STA 也 要 对 ASU 的 
签名 进行 验证 ,并 得 到 AP 的 鉴别 结果 ,根据 这 一 结果 来 决定 是 否 接 入 AP。 

由 于 WAI 中 对 STA 和 AP 进行 了 双向 认证 ,因此 对 于 采用 “ 假 ”"AP 的 攻击 方式 具有 很 
强 的 抵御 能 力 。 


9.4.1 WAPI 的 工作 原理 


WAPI 的 工作 原理 如 图 9. 14 所 示 , 整 个 系统 由 移动 终端 (mobile terminal, MT)、 接 入 

点 (access point,AP) 和 认证 服务 器 (authentication serrer, AS) 组 成 。 其 中 ,认证 服务 器 的 
主要 功能 是 负责 证 书 的 发 放 、 认 证 与 吊销 等 ; 移动 终端 与 AP 上 都 安装 有 认证 服务 器 发 放 
的 公 钥 证 书 , 作 为 自己 的 数字 身份 赁 证。 当 移 动 终端 登录 至 无 线 接 人 点 时 ,在 访问 网 络 资源 
之 前 必须 通过 AS 进行 双向 身份 认证 。 即 持 有 合法 证 书 的 移动 终端 能 且 只 能 接 人 持 有 合法 
证 书 的 无 线 接 人 和 人 点。 这样 ,一 方面 可 以 防止 非法 移动 终端 接 人 AP 未 经 授权 就 使 用 网 络 资 
源 , 另 一 方面 还 可 以 防止 移动 终端 登录 至 非法 AP 而 造成 信息 泄露 。 

移动 终端 SR 其 他 网 络 设备 认证 服务 器 

0) 

和 外 1 ss 息 
AP 激 活 MT 认 证 
MT 发 送 认证 请 求 


AP 发 送 证 书 认证 请 求 
AS 返回 证 书 认 证 请 求 (UDP 报 文 ) 


AP 向 MT 应 答 接 入 
认证 响应 


私 钥 验 证 


EE 


图 9.14 WAPI 的 工作 原理 
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图 9. 14 显示 的 是 WAPI 的 完整 交互 过 程 ,下 面 结合 该 图 来 分 析 WAPI 的 工作 流程 。 

@ 认证 发 起 过 程 。 认 证 开始 之 前 ,移动 终端 首先 要 登录 到 AP, 建 立 链 路 连接 。 移 动 终 
端 通过 无 线 信道 的 链 路 连接 建立 成 功 接 人 到 AP 后 ,AP 向 移动 终端 发 送 认证 激活 信息 ,以 
启动 整个 认证 过 程 。 

@ 移动 终端 发 送 接 人 认证 请 求 。 移 动 终端 向 AP 发 出 接 和 人 认证 请 求 信 息 , 接 人 认证 请 
求 信息 的 内 容 包 括 移动 终端 的 证 书 移动 终端 的 当前 系统 时 间 。 其 中 系统 时 间 称 为 接 入 认 
证 请 求 时 间 。 

@ 接 入 点 发 送 证 书 认证 请 求 。AP 收 到 移动 终端 接 入 认证 请 求 后 ,向 认证 服务 器 发 出 
证 书 认 证 请 求 信息 。 证 书 认 证 请 求 信息 的 内 容 包 括 移动 终端 的 证 书 、 接 入 认证 请 求 时 间 和 
AP 证 书 , 并 利用 AP 的 私 钥 对 它们 签名 生成 证 书 认证 请 求 报 文 发 送 给 认证 服务 器 。 

@ 认证 服务 器 发 送 证 书 认 证 响应 。 当 认证 服务 器 收 到 AP 的 证 书 认 证 请 求 后 , 它 将 验 
证 AP 的 签名 及 AP 和 移动 终端 证 书 的 合法 性 。 验 证 完毕 后 ,认证 服务 器 将 移动 终端 证 书 
认证 结果 信息 (包括 移动 终端 证 书 、 认 证 结果 及 认证 服务 器 对 它们 的 签名 )、AP 证 书 认证 结 
果 信 息 ( 包 括 AP 证 书 ,认证 结果 、 接 入 认证 请 求 时 间 及 认证 服务 器 对 它们 的 签名 ) 构 成 证 书 
认证 响应 报 文 发 回 给 AP。 

@ 接 入 点 发 送 接 入 认证 响应 。AP 收 到 认证 服务 器 的 证 书 认证 结果 之 后 ,AP 对 认证 
服务 器 返回 的 证 书 认证 响应 进行 签名 验证 ,得 到 移动 终端 证 书 的 认证 结果 。AP 将 移动 终 
端 证 书 认 证 结果 信息 、AP 证 书 认证 结果 信息 及 AP 对 它们 的 签名 组 成 接 入 认证 响应 报 文 回 
送 至 移动 终端 。 移动 终端 验证 认证 服务 器 的 签名 后 ,得 到 AP 证 书 的 认证 结果 。 移 动 终端 
根据 该 认证 结果 决定 是 否 接 入 该 AP。 

@ 私 钥 验 证 请 求 。 这 是 一 次 双向 的 认证 , AP 和 移动 终端 都 需要 确认 对 方 是 否 是 证 书 
的 合法 持 有 者 。 私 钥 验 证 请 求 包含 实 时 产生 的 随机 数 ,请 求 对 方 对 其 签名 ,以 验证 对 方 是 否 
拥有 该 证 书 的 私 钥 。 该 请 求 可 由 AP 或 移动 终端 发 起 。 

@ 私 钥 验 证 响应 。 包 含 对 私 钥 验 证 请 求 中 随机 数据 的 签名 ,提供 自己 是 证 书 合法 持 有 
者 的 证 明 。 

@ 至 此 移动 终端 与 AP 之 间 完 成 了 证 书 认 证 过 程 。 若 认证 成 功 , 则 AP 允许 移动 终端 
接 入 ,否则 解除 其 登录 。 

在 证 书 双向 认证 结束 后 , 若 AP 和 移动 终端 可 以 利用 合法 证 书 的 公 钥 进行 会 话 密 钥 的 
协商 ,上 述 的 私 钥 验 证 过 程 也 可 省 略 ,实现 密 钥 的 集中 、 安 全 管理 。 


9.4.2 ”WAPI 的 特点 


通过 以 上 分 析 ,可 以 看 出 WAPI 的 特点 如 下 。 
@ 采用 基于 公 钥 密码 体系 的 证 书 机 制 ,实现 了 移动 终端 与 无 线 接 人 点 间 的 双向 认证 。 
@ 用 户 只 需 安装 一 张 证 书 就 可 在 覆盖 WLAN 的 不 同 地 区 漫游 ,方便 用 户 使 用 。AP 设 
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置 好 证 书后 ,无 须 再 对 后 台 的 AAA 服务 器 进行 设置 ,安装 、 组 网 便捷 ,易于 扩展 。 

WAPI 具有 几 个 重要 特点 : 全 新 的 高 可 靠 性 安全 认证 与 保密 体制 ,更 可 靠 的 二 层 ( 链 路 
层 ) 以 下 安全 系统 ,完整 的 “用 户 - 接 入 点 ”双向 认证 ,集中 式 或 分 布 集中 式 认 证 管理 ,灵活 多 
样 的 证 书 管理 与 分 发 体制 ,可 控 的 会 话 协商 动态 密 钥 ,高 强度 的 加 密 算法 ,可 扩展 或 升级 的 
全 艇 入 式 认证 与 算法 模块 ,支持 带 安 全 的 越 区 切换 ; 支持 SNMP 网 络 管理 ,完全 符合 国家 
标准 ,通过 国家 商用 密码 管理 部 门 安全 审查 ,符合 “国家 商用 密码 管理 条 例 ”。 

由 于 会 话 密 钥 并 没有 在 信道 上 进行 传输 ,因此 就 增强 了 其 安全 性 。 为 了 进一步 提高 通 
信 的 保密 性 ,WAPI 还 规定 ,在 通信 一 段 时 间或 者 交换 一 定数 量 的 数据 之 后 ,STA 和 AP 之 
间 可 以 重新 协商 会 话 密 钥 。WAPI 采用 对 称 密码 算法 实现 对 MAC 层 MSDU 进行 的 加 、 解 
密 操作 。 

WAPI 充分 考虑 了 市 场 应 用 ,从 应 用 模式 上 可 分 为 单 点 式 和 集中 式 两 种 。 单 点 式 主要 
用 于 家 庭 和 小 型 公司 的 小 范围 应 用 ; 集中 式 主要 用 于 热点 地 区 和 大 型 企业 ,可 以 和 运营 商 
的 管理 系统 结合 起 来 ,共同 搭建 安全 的 无 线 应 用 平台 。 因 此 ,采用 WAPI 可 以 彻底 扭转 目 
前 WLAN 多 种 安全 机 制 并 存 且 互 不 兼容 的 现状 ,从 而 在 根本 上 解决 安全 问题 和 兼容 性 
问题 。 


9.5 移动 IP 安全 概述 


9.5.1 移动 IP 概述 


由 于 IP 路 由 基于 网 络 前 缀 ,IP 数据 分 组 首先 到 达 对 应 IP 地 址 网 络 前 缀 的 网 段 , 然 后 
转发 到 目的 主机 。 因 此 ,当主 机 在 不 同 链 路 间 移 动 时 ,如 果 其 IP 地 址 保持 不 变 ,那么 它 的 物 
理 位 置 就 不 能 再 由 该 IP 地 址 来 确定 ,所 有 发 送 给 该 主机 的 IP 分 组 不 能 被 正确 地 转发 。 在 
移动 IP 产生 之 前 , 曾 有 人 提出 几 种 方案 来 解决 主机 移动 过 程 中 的 路 由 和 通信 的 连续 性 
问题 。 

@ 在 主机 改变 网 络 接 和 人 点 的 同时 改变 其 IP 地 址 。 这 种 方法 只 有 当主 机 主动 发 起 通信 
时 才能 被 网 络 中 其 他 主机 识别 。 但 是 不 能 保持 主机 现 有 的 网 络 连接 和 通信 的 连续 性 ,因为 
IP 地 址 的 改变 导致 所 有 正在 进行 的 传输 层 连接 都 被 中 断 。 

@ 根据 特定 主机 IP 地 址 进行 路 由 选择 。 这 种 方法 将 占用 路 由 器 大 量 的 资源 ,对 于 每 
个 数据 分 组 的 选 路 ,路 由 器 都 要 进行 大 量 的 主机 地 址 人 口 的 搜索 ,使 得 系统 可 扩展 性 差 ,不 
能 满足 大 规模 网 络 互联 的 要 求 。 

@ 在 数据 链 路 层 解决 移动 问题 。 蜂 窝 数字 分 组 数据 网 (cellular digital packet data， 
CDPD) 的 用 户 申 请 服务 时 ,由 电信 ISP 为 其 分 配 一 个 在 整个 CDPD 网 络 中 使 用 的 IP 地 址 ， 
由 数据 链 路 层 保证 分 组 能 按照 ISP 提供 的 IP 地 址 准确 送 达 。 虽 然 其 概念 上 与 移动 IP 相 


342 计算 机 网 络 安全 一 一 协议 .技术 与 应 用 


似 , 但 是 它 只 能 在 CDPD 系统 中 提供 移动 性 ,无 法 与 现 有 的 Internet 兼容 。 与 CDPD 相 比 ， 
IEEE 802. 11 是 一 个 在 地 域 范围 上 受 限制 但 速率 更 高 的 链 路 层 解 决 方案 。 在 IEEE 802. 11 
中 ,设备 的 移动 对 IP 层 是 不 可 见 的 。 然 而 ,如 果 节 点 移动 时 穿 过 了 一 台 路 由 器 ,那么 它 就 应 
该 改变 IP 地 址 ,这 样 正 在 进行 的 通信 就 会 中 断 。 因 此 ,单纯 依靠 数据 链 路 层 解 决 方案 是 不 
可 行 的 。 

IETF 的 移动 IP 工作 组 于 1992 年 初步 制定 了 工作 在 网 络 层 的 移动 IP 协议 ,并 由 IESG 
(Internet engineering steering group) 在 1996 年 6 月 通过 移动 IP 的 标准 草案 ,同年 11 月 公 
布 为 建议 标准 ,为 移动 IP 成 为 Internet 正式 标准 葛 定 了 基础 ,对 移动 IP 的 发 展 起 到 了 关键 
性 的 作用 。 由 于 IPv4 的 广泛 应 用 ,目前 只 有 移动 Ipv4 标准 协议 以 RFC 形式 发 布 。 而 移动 
IPv6 仍然 处 于 不 断 的 修订 之 中 。 由 于 IPv4 与 IPv6 之 间 的 差异 ,使 得 移动 IPv4 协议 与 移动 
IPv6 协议 有 着 本 质 上 的 区 别 。2003 年 ,IETF 的 移动 IP 工作 组 分 为 两 个 独立 的 工作 组 ,分 
别 负责 制定 移动 IPv4 标准 和 移动 IPv6 标准 。 

移动 IP 协议 是 目前 公认 支持 通信 节点 移动 的 网 络 层 解决 方案 , 它 与 数据 链 路 层 协议 和 
物理 传输 介质 无 关 。 下 面 简 述 移动 IP 的 基本 原理 。 

移动 IP 的 主要 设计 目标 是 移动 节点 在 改变 网 络 接 入 点 时 ,不 改变 其 IP 地 址 而 保持 其 
通信 的 连续 性 。 具 体 地 说 ,移动 IP 协议 的 设计 应 当 满 足 如 下 要 求 。 

J@ 移动 节点 在 改变 数据 链 路 层 的 接 人 点 之 后 ,能 够 保持 与 Internet 上 通信 节点 通信 的 

@ 无 论 移 动 节点 连接 何 种 数据 链 路 层 接 入 点 , 它 都 能 够 使 用 原来 的 IP 地 址 进行 通信 。 

@ 移动 节点 能 够 与 不 具备 移动 IP 功能 的 通信 节点 进行 通信 。 

@ 移动 节点 不 应 该 比 Internet 上 的 其 他 节点 面临 新 的 或 更 多 的 安全 威胁 。 

此 外 ,由 于 移动 节点 通常 通过 无 线 链 路 连接 到 Internet 上 ,而 无 线 链 路 具有 低 带 宽 、 高 
误 码 率 的 特点 ,而 且 作 为 移动 节点 的 移动 计算 机 电池 能 量 有 限 ,如何 减少 通信 过 程 中 的 能 量 
消耗 也 是 需要 重点 考虑 的 问题 。 因 此 ,设计 移动 IP 协议 时 ,要 考虑 移动 节点 接 入 网 络 时 发 
送 的 管理 消息 数目 应 尽 可 能 少 ,同时 采用 尽 可 能 短 的 消息 进行 通信 。 


9.5.2 移动 IP 的 工作 原理 


下 面 首先 介绍 移动 IP 协议 中 重要 的 实体 。 

。 移动 节点 (mobile node, MN): 是 需要 进行 移动 并 可 以 使 用 原 有 IP 地 址 (家 乡 代理 
的 永久 地 址 ) 和 其 他 通信 节点 进行 通信 的 节点 。 它 需要 支持 移动 IP。 

。 家 乡 代理 (home agent, HA): 是 指 有 一 个 端口 与 移动 节点 的 家 乡 链 路 相连 的 路 由 
器 。 移 动 节点 以 其 转交 地 址 (care of address) 通 知 家 乡 代 理 它 的 当前 位 置 。 家 乡 代 
理 广播 对 移动 节点 的 家 乡 地 址 网 络 前 缀 的 可 达 性 ,可 获取 那些 发 往 移动 节点 的 家 乡 
地 址 的 IP 分 组 ,并 将 这 些 IP 分 组 通过 隧道 技术 传送 到 移动 节点 的 转交 地 址 。 
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。 外 地 代理 (foreign agent'FA): 是 指 在 移动 节点 所 移动 至 的 外 地 链 路 上 的 路 由 器 。 
外 地 代理 帮助 移动 节点 将 其 转交 地 址 通知 家 乡 代理 。 某 些 情况 下 ,外 地 代理 提供 移 
动 节点 的 转交 地 址 ,并 为 已 被 家 乡 代理 设置 隧道 的 移动 节点 发 送 拆 封 后 的 IP 分 组 。 
对 于 移动 节点 发 出 的 IP 分 组 ,外 地 代理 提供 类 似 于 默认 路 由 器 的 服务 。 
某 些 情况 下 ,将 家 乡 代理 和 外 地 代理 统称 为 移动 代理 。 图 9. 15 给 出 了 移动 IP 各 功能 
实体 之 间 的 相互 关系 。 


移动 节点 访问 外 地 网 络 


在 家 乡 的 移动 节点 


家 乡 网 络 


外 地 网 络 家 乡 代 理 


外 地 代理 
图 9.15 移动 IP 各 功能 实体 之 间 的 相互 关系 


移动 IP 的 其 他 重要 术语 如 下 。 

。 家 乡 网 络 (home network): 是 指 与 移动 节点 的 家 乡 地 址 具有 相同 网 络 前 级 的 网 络 ， 
也 可 以 是 一 个 物理 上 不 存在 的 虚拟 网 络 。 发 往 移动 节点 的 家 乡 地 址 的 IP 分 组 以 标 
准 的 IP 路 由 机 制 转 发 到 其 家 乡 网 络 上 。 

。 家 乡 链 路 (home link): 是 指 与 移动 节点 的 家 乡 地 址 具有 相同 网 络 前 级 的 链 路 ,是 移 
动 节点 在 家 乡 网 络 时 的 链 路 。 家 乡 链 路 比 家 乡 网 络 更 为 精确 地 描述 了 移动 节点 在 
家 乡 的 位 置 。 

。 外 地 网 络 (foreign network 或 visited network) : 是 指 除 移动 节点 的 家 乡 网 络 外 的 任 
何 网 络 , 也 就 是 网 络 前 级 与 移动 节点 的 家 乡 地 址 网 络 前 级 不 同 的 网 络 。 

。 外 地 链 路 (foreign link) : 是 指 除 家 乡 链 路 以 外 的 链 路 ,也 就 是 网 络 前 组 与 移动 节点 
家 乡 地 址 网 络 前 级 不 同 的 链 路 。 外 地 链 路 比 外 地 网 络 更 为 精确 地 描述 了 移动 节点 
移动 时 的 位 置 。 

。 家乡 地 址 (home address) : 是 指 每 个 移动 节点 在 家 乡 链 路 上 拥有 的 一 个 “长 期 有 效 ” 
的 IP 地 址 。 对 这 种 地 址 的 管理 类 似 对 固定 主机 IP 地 址 的 管理 。 

。 转交 地 址 (care of address): 是 指 当 移动 节点 离开 家 乡 网 络 后 ,被 赋予 的 反映 其 当前 
链 路 接 人 点 的 临时 IP 地 址 。 

。 通信 对 端 节点 (correspondent node) : 是 指 与 移动 节点 通信 的 对 等 实体 ,以 后 简称 为 
通信 对 端 。 通 信 对 端 可 以 是 移动 节点 或 者 固定 节点 。 

。 移动 绑 定 (mobility binding) : 是 指 由 家 乡 代 理 维护 的 移动 节点 的 家 乡 地 址 和 转交 
地 址 的 关联 ,还 包括 关于 该 关联 的 剩余 生存 期 等 其 他 信息 。 
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移动 IP 协议 中 ,移动 节点 在 移动 过 程 中 经 历代 理发 现 、 注 册 、 分 组 路 由 和 注销 等 几 个 
过 程 。 


1. 代理 发 现 (agent discovery) 


家 乡 代理 和 外 地 代理 周期 性 地 在 它们 作为 移动 代理 的 链 路 上 ,多 播 或 广播 代理 通告 
(agent advertisement) 消 息 ,通告 它们 与 相应 链 路 的 连接 关系 。 代 理 通 告 是 通过 在 ICMP 
路 由 器 通告 消息 中 增加 了 ”移动 代理 通告 扩展 ?部 分 ,来 说 明 移动 代理 是 家 乡 代 理 还 是 外 地 
代理 ,以 及 它 的 网 络 地 址 和 通告 有 效 期 等 信息 。 

移动 节点 根据 收 到 的 代理 通告 消息 ,判断 它 是 在 家 乡 链 路 上 还 是 在 外 地 链 路 上 。 当 连 
接 在 家 乡 链 路 上 时 ,移动 节点 就 和 固定 节点 一 样 工 作 , 不 再 启用 移动 IP 的 其 他 功能 。 当 移 
动 节点 发 现 它 从 家 乡 链 路 移动 到 外 地 链 路 ,或 者 从 一 个 外 地 链 路 移动 到 另 一 个 外 地 链 路 上 
时 , 它 就 要 向 家 乡 代理 进行 注册 。 


2. 注册 (registration) 


当 移动 节点 连接 在 外 地 链 路 上 时 , 它 需 要 一 个 代表 它 当 前 所 在 位 置 的 转交 地 址 。 移 动 
节点 可 以 从 外 地 代理 通告 消息 中 获得 外 地 代理 的 转交 地 址 ,或 通过 动态 主机 配置 协议 
DHCP 和 手工 配置 等 方法 配置 转交 地 址 。 

移动 主机 在 获得 转交 地 址 后 ,通过 移动 IP 协议 定义 的 注册 请 求 (registration request) 
消息 向 家 乡 代理 注册 。 家 乡 代理 确认 后 ,将 家 乡 地 址 和 相应 的 转交 地 址 存放 在 绑 定 缓存 中 ， 
完成 移动 节点 的 家 乡 地 址 和 转交 地 址 的 绑 定 , 并 向 移动 节点 发 送 注册 应 答 (registration 
reply) 消 息 。 在 注册 过 程 中 ,如 果 移 动 节点 使 用 外 地 代理 的 转交 地 址 ,就 要 通过 外 地 代理 进 
行 注册 请 求 和 注册 应 答 。 

图 9. 16 给 出 了 一 个 移动 节点 的 注册 过 程 示例 。 图 中 移动 节点 的 家 乡 地 址 为 128. 119. 
40. 186 ,家 乡 代理 HA 的 地 址 为 128. 119. 40.7, 外 地 网 络 (visited network) 为 79. 129. 13/24， 
外 地 代理 给 移动 节点 分 配 的 转交 地 址 COA 为 79. 129. 13. 2。 

初始 时 ,外 地 代理 向 移动 节点 发 出 一 个 通告 消息 (图 9. 16 中 的 ICMP agent advertisement)， 
其 中 包含 分 配给 该 移动 节点 的 转交 地 址 COA。 移 动 节点 获得 该 COA 地 址 后 ,向 外 地 代 
理发 出 注册 请 求 ( 图 9. 16 中 的 registration request 消息 ) ,其 中 包含 移动 节点 的 家 乡 代理 
及 其 本 地 地 址 ,以 及 生命 周期 等 其 他 相关 信息 。 该 注册 消息 将 被 外 地 代理 转发 给 移动 节 
点 的 家 乡 代理 ,家 乡 代理 完成 移动 节点 的 地 址 绑 定 和 注册 后 ,向 外 地 代理 发 送 注册 应 答 
消息 (图 9. 16 中 的 registration reply 消息 ) ,最 后 该 应 答 消 息 被 转发 给 移动 节点 ,注册 过 程 
结束 。 


3. 分 组 路 由 (packet routing) 
家 乡 代 理 和 家 乡 链 路 上 的 其 他 路 由 器 通过 与 外 地 链 路 上 的 路 由 器 交换 路 由 信息 ,使 得 
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Visited network 
79.129.13.0/24 


Home agent Foreign agent Mobile agent 
HA:128.119.40.7 COA:79.129.13.2 MA:128.119.40.186 
COA:79.129.13.2 
Registration req ie 


COA:79.129.13.2 COA:79.129.13.2 
HA:128.119.40.7 

HA:128.119.40.7 
MA:128.119.40.186 ee 
Lifetime:9999 


Lifetime:9999 
Identification:714 Identification:714 
一 一 | Encapsulation format 本 


Registration reply Registration reply 


HA:128.119.40.7 | = 


1 MA:128.119.40.166 HA:128.119.40.7 
time Lifetime:4999 MA:128.119.40.166 Fa 
Identification:714 Lifetime:4999 


Encapsulation format Identification:714 


图 9.16 移动 节点 注册 过 程 示意 图 


发 送 给 移动 节点 的 家 乡 地 址 的 IP 分 组 被 正确 地 转发 到 家 乡 链 路 上 。 家 乡 代理 通过 地 址 解 
析 协 议 来 截取 发 往 移 动 节点 的 家 乡 地 址 的 IP 分 组 。 

家 乡 代理 根据 IP 分 组 的 目的 IP 地 址 查找 绑 定 缓存 ,获得 移动 节点 注册 的 转交 地 址 , 然 
后 通过 隧道 发 送 该 分 组 到 移动 节点 的 转交 地 址 。 如 果 转 交 地 址 是 外 地 代理 的 转交 地 址 , 隧 
道 末端 的 外 地 代理 拆 封 得 到 原始 分 组 后 ,转发 给 移动 节点 。 如 果 转 交 地 址 是 一 个 普通 的 “ 配 
置 转交 地 址 ”, 封 装 后 的 数据 分 组 直接 发 送 至 移动 节点 。 

移动 节点 使 用 外 地 网 络 的 路 由 器 作为 默认 路 由 器 , 它 发 送 的 IP 分 组 通过 外 地 网 络 的 路 
由 器 直接 发 送 给 通信 对 端 ,无 须 采 用 隧道 机 制 。 这 样 ,通信 对 端 发 送 的 IP 分 组 通过 移动 节 
点 的 家 乡 代理 转发 给 移动 节点 ,移动 节点 的 IP 分 组 直接 发 送 到 通信 对 端 , 形 成 三 角 路 由 现 
象 。 三 角 路 由 不 是 优化 路 由 ,路 由 优化 问题 也 是 移动 IP 的 一 个 比较 重要 的 问题 ,主要 工作 
是 如 何 使 通信 对 端 在 大 多 数 情 况 下 把 IP 分 组 直接 发 送 到 移动 节点 的 转交 地 址 ,而 不 是 总 通 
过 家 乡 代理 来 转发 ,从 而 保证 IP 分 组 的 路 由 是 优化 的 。 
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4. 注销 (deregistering) 


移动 节点 收 到 代理 通告 消息 ,如 果 判 断 它 返 回 到 家 乡 链 路 上 ,那么 移动 节点 必须 直接 注 
册 到 家 乡 代理 来 注销 它 当前 的 转交 地 址 。 注 销 之 后 ,移动 节点 就 可 以 像 固定 节点 一 样 工作 ， 
直到 它 再 次 离开 家 乡 链 路 。 


9.5.3 移动 IP 面临 的 安全 威胁 及 对 策 


移动 IP 面临 的 安全 问题 源 于 多 种 因素 。 首 先 , 移 动 IP 是 工作 在 网 络 层 的 协议 , 它 所 引 
入 的 新 的 控制 消息 ,如 代理 通告 .注册 请 求 和 应 答 、 绑 定 更 新 和 代理 发 现 等 如 果 处 理 不 当 , 容 
易 受 到 攻击 。 此 外 ,移动 IP 虽然 可 以 工作 在 任何 种 类 的 链 路 上 ,但 是 在 大 多 数 情况 下 ,移动 
IP 应 用 于 无 线 网 络 环境 中 ,也 就 是 通过 无 线 链 路 接 入 网 络 ,无 线 网 络 的 特殊 性 使 得 同样 的 
攻击 在 无 线 网 络 中 更 容易 实施 。 青 者 ,移动 IP 中 的 移动 节点 常常 离开 家 乡 网 络 ,在 不 同 的 
外 地 网 络 之 间 漫 游 ,由 于 无 法 保证 所 有 的 外 地 网 络 都 是 可 信 的 ,因此 移动 节点 很 容易 遭受 被 
动 窃听 会话 窃 取 和 各 种 主动 攻击 。 

针对 移动 IP 协议 自身 的 特点 及 移动 环境 的 特殊 性 ,移动 IP 可 能 遭受 各 种 安全 攻击 , 包 
括 拒绝 服务 攻击 . 重 放 攻 击 .中 间 人 攻击 会话 窃取 和 被 动 窃听 等 。 下 面 简要 介绍 这 些 攻击 
行为 及 相应 的 移动 IP 安全 机 制 。 


1. 拒绝 服务 攻击 


在 移动 IP 协议 中 ,注册 的 一 个 首要 目的 是 让 移动 节点 将 其 转交 地 址 通知 其 家 乡 代理 ， 
家 乡 代理 将 接收 那些 目的 地 址 为 移动 节点 家 乡 地 址 的 IP 分 组 ,并 通过 隧道 发 送 到 移动 节点 
的 转交 地 址 。 攻 击 者 可 以 发 出 一 个 伪造 的 注册 请 求 消息 给 家 乡 代理 ,以 其 IP 地 址 或 一 个 其 
骗 IP 地 址 代替 移动 节点 的 转交 地 址 。 这 样 ,通信 对 端 发 出 的 所 有 IP 分 组 都 会 被 移动 节点 
的 家 乡 代理 通过 隧道 发 送 至 攻击 者 指定 的 IP 地址 ,而 不 是 移动 节点 的 转交 地 址 。 如 图 9. 17 
所 示 , 移 动 节 点 不 青 能 够 接收 任何 卫 分 组 , 它 当 前 的 所 有 通信 都 将 被 中 断 ,导致 拒 绝 服务 。 


图 9.17 移动 IP 中 的 拒绝 服务 攻击 
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同样 ,攻击 者 可 以 通过 假冒 外 地 代理 对 移动 节点 发 起 拒绝 服务 攻击 。 为 了 防御 这 种 移 
动 IP 的 拒绝 服务 攻击 ,可 以 对 移动 节点 和 家 乡 代 理 之 间 的 注册 消息 进行 认证 。 为 此 ,移动 
IP 协议 提供 了 一 些 认 证 机 制 : 通过 认证 扩展 的 方式 提供 了 移动 节点 和 移动 代理 之 间 的 注册 
消息 的 认证 , 即 移动 一 家 乡 认 证 扩展 ,移动 一 外 地 认证 扩展 ,外 地 一 家 乡 认 证 扩展 。 其 中 , 移 
动 一 家 乡 认 证 扩展 是 必 选 的 ,其余 两 个 是 可 选 的。 图 9. 18 给 出 了 包含 认证 扩展 的 注册 消息 
的 一 般 结 构 。 


IP 报头 (REFC 791) 
UDP 报头 (RFC 768) 
注册 消息 的 移动 IP 字段 (RFC 3344)( 定 长 部 分 ) 


图 9.18 包含 认证 扩展 的 注册 消息 


移动 IP 协议 使 用 的 默认 认证 算法 是 HMAC 一 MD5, 采 用 前 级 加 后 级 的 模式 。 以 移 
动 一 家 乡 认证 为 例 ,图 9. 19 给 出 了 利用 HMAC 一 MD5 注册 消息 的 认证 过 程 。 


注册 请 求 消息 


消息 摘要 


图 9.19 采用 HMAC-MD5 的 注册 消息 认证 过 程 


移动 节点 产生 一 条 注册 请 求 信息 ,其 中 包括 固定 部 分 和 移动 一 家 乡 认证 扩展 ,移动 节点 
填写 请 求 消息 和 扩展 部 分 中 除 认 证 域外 的 所 有 其 他 字段 ,然后 对 以 下 这 一 字 节 串 计算 出 一 
个 消息 摘要 : 共享 密 钥 ,注册 请 求 消息 的 定 长 部 分 , 除 认 证 域外 包括 移动 一 家 乡 代理 认证 扩 
展 在 内 的 所 有 扩展 ( 即 类 型 .长度 和 安全 参数 索引 ) ,接着 是 移动 节点 和 家 乡 代理 的 共享 密 
钥 。 移 动 节点 将 这 个 消息 摘要 写 人 移动 一 家 乡 认 证 扩展 的 认证 字段 中 ,这 样 就 完成 了 一 个 
注册 请 求 消息 的 封装 。 然 后 ,移动 节点 将 这 个 消息 发 送 给 家 乡 代理 。 

当 注 册 请 求 消息 到 达 家 乡 代理 后 ,家 乡 代理 所 做 的 工作 与 移动 节点 在 组 装 消息 时 所 做 
的 工作 大 致 相同 。 家 乡 代理 利用 它 和 移动 节点 共享 的 秘密 密 钥 及 接收 到 的 注册 请 求 消息 的 
各 个 字段 计算 消息 摘要 ,然后 将 计算 结果 与 从 移动 节点 那里 接收 到 的 认证 字段 进行 比较 。 
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若 相等 则 注册 认证 成 功 , 移 动 IP 的 认证 扩展 同时 提供 了 认证 和 完整 性 检验 。 家 乡 代理 向 移 
动 节点 返回 注册 应 答 时 的 过 程 正好 相反 。 家 乡 代 理 计算 注册 应 答 消息 和 密 钥 的 消息 摘要 ， 
将 消息 摘要 放 在 注册 应 答 的 认证 字段 中 ,移动 节点 检查 消息 摘要 来 对 家 乡 代理 进行 认证 ,并 
检查 消息 的 完整 性 。 


2. 中 间 人 攻击 


中 间 人 攻击 是 指 攻击 者 拦截 网 络 中 的 分 组 ,经 过 修改 之 后 再 送 回 到 网 络 中 。 在 移动 IP 
的 代理 发 现 机 制 中 ,移动 节点 可 能 会 遭受 中 间 人 攻击 。 

在 移动 IP 中 ,移动 代理 周期 性 地 发 送 代理 通告 消息 ,移动 节点 根据 收 到 的 代理 通告 消 
息 来 判断 自己 的 位 置 ,判断 是 在 家 乡 链 路 还 是 在 外 地 链 路 。 代 理 通 告 消息 是 作为 ICMP 路 
由 器 发 现 消息 的 移动 扩展 发 送 的 。 其 中 包含 一 个 序列 号 ,移动 节点 根据 该 序列 号 判断 外 地 
代理 是 否 重启 ,也 就 是 说 外 地 代理 不 再 知道 该 移动 节点 的 存在 ,需要 重新 注册 。 攻 击 者 可 以 
利用 这 种 机 制 ,伪造 一 个 代理 通告 消息 ,使 得 收 到 这 个 消息 的 移动 节点 认为 需要 重新 注册 。 
一 般 代理 通告 消息 中 的 TTL 字段 的 值 为 1 时 ,移动 节点 才 接 受 该 消息 。 所 以 攻击 者 通常 与 
移动 节点 位 于 同一 链 路 上 ,但 是 它 也 可 以 在 其 他 链 路 上 ,通过 适当 的 设置 TTL 字段 的 值 来 
使 移动 节点 收 到 该 消息 时 ,使 其 中 的 TTL 字段 为 1。 

代理 通告 消息 的 发 送 方式 可 以 是 广播 .多 播 和 单 播 。 由 于 广播 和 多 播 只 能 在 当前 链 路 
上 发 送 和 接收 ,因此 , 当 攻 击 者 位 于 移动 节点 所 在 链 路 以 外 的 其 他 链 路 上 时 ,这 种 攻击 是 无 
效 的 。 而 当 移动 节点 发 送 代理 请 求 消息 时 ,由 移动 代理 响应 的 代理 通告 是 以 单 播 形 式 发 送 
给 移动 节点 的 。 这 时 ,如 果 攻 击 者 伪造 一 个 单 播 的 代理 通告 地 址 给 移动 节点 ,就 有 可 能 成 
功 。 因 此 ,移动 节点 应 该 抛弃 那些 单 播 的 代理 通告 消息 .除非 它 发 送 了 代理 请 求 消息 。 


3. 重 放 攻 击 

重 放 攻击 是 指 攻击 者 截获 数据 ,等 待 一 段 时 间 后 重新 发 送 ,一 般 表 现 为 对 认证 系统 的 攻 
击 。 攻 击 者 记录 下 任何 保持 不 变 的 认证 信息 ,比如 密码 ,然后 重 放 以 前 发 送 过 的 合法 消息 ， 
以 此 来 骗 过 认证 系统 。 

在 移动 IP 的 注册 过 程 中 存在 遭受 重 发 攻击 的 隐患 。 一 个 攻击 者 可 以 将 一 个 有 效 的 注 
册 请 求 信息 保存 起 来 ,然后 经 过 一 段 时 间 后 再 重 放 这 个 消息 ,从 而 注册 一 个 伪造 的 转交 地 
址 。 为 防止 这 种 重 放 攻 击 , 移 动 节 点 为 每 一 个 连续 的 注册 消息 标识 (identification) 字 段 产 
生 一 个 唯一 值 。 该 值 使 得 家 乡 代理 可 以 知道 下 一 个 值 应 该 是 多 少 。 这 样 ,攻击 者 就 无 能 为 
力 了 ,因为 它 保存 的 注册 请 求 信息 会 被 家 乡 代理 判定 为 已 经 过 时 了 。 

移动 IP 定义 了 两 种 填写 标识 字段 的 方法 : 时 间 戳 (必须 的 ) 和 nonce( 可 选 的 ) 。 在 移动 
节点 与 家 乡 代理 之 间 有 效 的 重 放 保护 的 形式 是 移动 安全 关联 的 一 部 分 。 一 个 移动 节点 与 家 
乡 代 理 必 须 就 将 采用 哪 种 重 放 保护 方式 达成 一 致 。 对 于 标识 字段 的 解释 取决 于 重 放 保护 的 
方法 。 无 论 采 用 哪 种 方法 ,标识 字段 的 最 低 32 位 必须 从 注册 请 求 消息 中 原封 不 动 地 复制 到 
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注册 应 答 消 息 中 。 外 地 代理 使 用 这 些 位 (和 移动 节点 的 本 地 地 址 ) 来 比较 注册 请 求 与 相应 的 
注册 应 答 。 移 动 节点 必须 验证 注册 应 答 消 息 的 标识 字段 的 低 32 位 与 注册 请 求 消息 中 的 该 
字段 是 否 相 同 。 

(1) 基于 时 间 戳 的 重 放 保护 

时 间 蕉 重 放 保 护 的 基本 原理 是 : 节点 A 产生 一 个 消息 插入 当前 的 日 期 和 时 间 , 收 到 消 
息 的 节点 也 检查 这 个 时 间 惟 是否 和 它 自 己 的 日 期 时 间 足 够 接近 。 除 非 在 节点 之 间 的 安全 
关联 中 详细 说 明 ,将 使 用 默认 值 7s 作为 时 间 差 别 的 限度 ,而 且 应 该 至 少 大 于 3s。 很 显然 ,两 
个 节点 必须 拥有 很 好 的 经 过 同步 的 时 钟 。 与 其 他 信息 一 样 ,时 间 同 步 信 息 也 可 以 根据 两 个 
节点 间 的 安全 关联 而 采用 某 种 认证 机 制 来 防止 被 算 改 。 

如 果 采 用 了 时 间 改 协议 ,移动 节点 必须 将 标识 字段 设置 为 由 网 络 时 间 协 议 (network 
time protocol, NTP) 所 指定 的 一 个 64 位 的 数值 。NTP 格式 的 低 32 位 代表 秒 的 小 数 部 分 ， 
这 些 位 不 能 从 一 个 时 间 源 得 到 ,而 应 该 由 一 个 好 的 随机 源 产生 。 

需要 注意 的 是 , 当 使 用 时 间 截 时 ,在 一 个 注册 请 求 消息 中 所 使 用 的 64 位 标识 字段 的 值 
必须 大 于 任何 先前 的 注册 请 求 信 息 中 的 标识 字段 的 值 , 因 为 家 乡 代理 同时 要 使 用 这 个 字段 
作为 一 个 序列 号 。 如 果 没 有 这 样 的 序列 号 ,很 可 能 会 将 一 个 早 些 时 候 的 注册 请 求 延迟 了 的 
副本 送 给 家 乡 代 理 ( 在 家 乡 代 理 所 要 求 的 时 钟 同步 限制 之 内 ) ,造成 次 序 颠 倒 , 从 而 错误 地 改 
变 了 移动 节点 当前 注册 的 转交 地 址 。 

一 旦 收 到 了 带 有 可 授权 扩展 的 注册 请 求 后 ,家乡 节点 必须 检验 标识 字段 的 合法 性 。 标 
识字 段 内 包含 的 时 间 截 必须 足够 接近 家 乡 代理 的 时 钟 , 并 且 时 间 戳 必须 大 于 所 有 先前 接受 
过 的 目前 正在 请 求 的 移动 节点 的 时 间 截 。 时 间 公 差 和 重 同 步 的 详细 情况 取决 于 某 个 特定 的 
移动 安全 关联 。 

如 果 时 间 截 是 合法 的 ,家 乡 代理 把 整个 标识 字段 复制 到 返回 给 移动 节点 的 注册 应 答 消 
息 中 去 。 如 果 时 间 蕉 不 合法 ,家 乡 代理 仅仅 把 低 32 位 复制 到 注册 应 答 消息 中 ,并 用 高 32 位 
提供 它 自 己 的 时 钟 。 在 后 一 种 情况 下 ,家 乡 代理 必须 通过 在 注册 回复 中 返回 Codel 33 来 拒 
绝 注册 。 

移动 节点 在 使 用 注册 应 答 消 息 中 的 标识 字段 的 高 32 位 进行 重 同步 之 前 ,必须 证 实在 注 
册 应 答 消 息 中 标识 字段 的 低 32 位 与 那些 被 拒绝 的 注册 请 求 中 的 相同 。 

(2) 基于 nonce 的 重 放 保 护 

nonce 重 放 保护 的 基本 原理 是 : 节点 A 在 发 给 节点 B 的 每 一 个 消息 中 包含 一 个 新 的 随 
机 数 , 并 检查 在 节点 B 发 给 A 的 下 一 个 消息 中 返回 的 数值 是 否 相 同 。 这 两 个 消息 都 使 用 一 
个 认证 码 来 防止 某 个 攻击 者 对 其 算 改 。 同 时 .节点 B 可 以 在 所 有 发 送 给 节点 A 的 消息 (由 
节点 A 来 响应 ) 中 包含 它 自己 的 nonce, 因 此 它 也 能 证 实 所 收 到 消息 的 新 鲜 性 。 

家 乡 代理 在 每 一 个 注册 应 答 中 插入 一 个 新 的 nonce 作为 标识 字段 的 高 32 位 。 家 乡 代 
理 把 注册 请 求 消息 中 标识 字段 的 低 32 位 复制 到 注册 应 答 消 息 中 标识 字段 的 低 32 位 中 。 当 
移动 节点 从 家 乡 代理 那里 收 到 一 个 经 过 认证 的 注册 应 答 消息 时 , 它 把 标识 字段 的 高 32 位 保 


350 计算 机 网 络 安全 一 协议 、 技 术 与 应 用 


存 下 来 ,作为 下 一 个 注册 请 求 信息 的 高 32 位 。 

移动 节点 负责 在 每 一 个 注册 请 求 中 产生 标识 字段 的 低 32 位 。 理 想 情 况 下 , 它 应 该 产生 
自己 的 随机 数 nonce。 但 是 它 可 以 使 用 其 他 合适 的 方法 ,包括 复制 家 乡 代理 发 送 的 随机 数 
值 。 所 选择 的 标识 字段 的 高 32 位 和 低 32 位 都 应 该 与 它们 先前 的 值 有 所 不 同 。 在 每 次 的 注 
册 消 息 中 ,家 乡 代理 使 用 一 个 新 的 高 位 值 而 移动 节点 使 用 一 个 新 的 低位 值 。 外 地 代理 使 用 
低位 值 (以 及 移动 主机 的 家 乡 地 址 ) 来 正确 匹配 注册 应 答 和 未 决 的 请 求 。 如 果 一 个 注册 请 求 
消息 因为 一 个 非法 的 nonce 而 被 拒绝 ,注册 应 答 消息 总 是 为 移动 节点 提供 一 个 新 的 nonce 
用 作 下 一 次 的 注册 。 


4. 会 话 窃取 与 被 动 窃 听 


会 话 窃取 攻击 是 指 攻击 者 在 一 个 合法 节点 进行 认证 并 开始 会 话 后 ,通过 假冒 合法 节点 
将 会 话 窃取 过 去 。 通 常 ,攻击 者 必须 发 送 大 量 的 无 用 数据 来 防止 合法 节点 发 现 会 话 已 被 窍 
取 了 。 

移动 IP 的 注册 过 程 可 能 遭 到 攻击 者 的 会 话 窃 取 攻 击 。 假 设 攻击 者 与 移动 节点 位 于 同 
一 链 路 上 ,他 首先 等 待 移动 节点 向 家 乡 代理 进行 注册 。 然 后 攻击 者 偷 听 到 移动 节点 开始 了 
一 个 他 所 感 兴趣 的 通信 会 话 , 便 发 送 大 量 无 用 的 数据 分 组 给 移动 节点 ,占用 移动 节点 的 全 部 
CPU 资源 。 攻 击 者 发 送 假冒 移动 节点 发 出 的 消息 给 移动 节点 的 通信 对 端 ,并 截获 发 往 移 动 
节点 的 数据 分 组 ,从 而 成 功 地 窃取 会 话 。 这 时 ,移动 节点 当前 的 通信 被 中 断 了 ,但 是 并 不 知 
道 它 当前 的 会 话 已 经 被 攻击 者 窃取 过 去 。 

为 了 防止 这 种 攻击 ,要求 移动 节点 和 外 地 代理 之 间 存 在 链 路 层 加 密 ,最 好 是 端 到 端的 加 
密 。 在 外 地 链 路 是 无 线 的 情况 下 ,数据 链 路 层 加 密 尤 为 重要 。 在 无 线 链 路 上 进行 会 话 窃取 
要 比 在 有 线 环 境 下 容易 ,因为 攻击 者 不 需要 物理 地 连接 到 链 路 上 。 进 行 端 到 端的 加 密 是 更 
好 的 选择 。 端 到 端 加 密 是 指 在 通信 源 端 对 数据 进行 加 密 ,在 目的 端 对 数据 进行 解密 ,而 不 只 
是 在 某 一 段 链 路 上 对 数据 进行 加 解密 。 这 样 的 优点 在 于 ,在 网 络 中 任何 一 点 数据 都 是 加 密 
的 ,而 不 只 是 在 外 地 链 路 上 得 到 保护 。 数 据 的 加 密 与 物理 介质 无 关 , 而 且 加 解密 只 在 通信 端 
点 进行 ,而 不 是 在 通信 路 径 中 的 某 些 地 方 .这 样 就 防止 了 不 必要 的 时 延 。 

被 动 窃 听 是 指 攻 击 者 窃听 并 截取 网 络 中 传输 的 数据 分 组 ,以 窃取 数据 分 组 中 可 能 包含 
的 机 密 和 私人 信息 。 防 范 这 种 攻击 最 好 的 方法 就 是 对 数据 进行 加 密 。 这 和 前 面 对 付 会 话 窃 
取 攻 击 的 方法 一 样 。 

移动 IP 中 的 移动 安全 关联 (mobile security association) 是 一 组 用 于 保护 消息 的 安全 策 
略 。 两 个 移动 实体 进行 安全 通信 前 ,必须 首先 协商 一 个 安全 关联 ,选择 通信 双方 都 能 支持 的 
加 密 与 认证 算法 。 移 动 安全 关联 由 以 下 几 部 分 组 成 : 加 密 算法 (如 DES.3DES、Blowfish、 
CAST 和 AES 等 ); 消息 摘要 算法 (如 MDS、SHA 和 Tiger 等 ); 认证 算法 (如 预先 分 配 共 
享 密 钥 ,数字 签名 和 共享 密 钥 等 ); 移动 安全 关联 的 生存 期 。 
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9.6 移动 IP 安全 机 制 


在 了 解 移动 IP 面临 的 安全 威胁 之 后 ,在 设计 移动 IP 的 安全 体系 时 ,应 考虑 移动 IP 协 
议 特殊 应 用 环境 中 的 如 下 问题 。 

中 可 扩展 性 。 在 移动 IP 协议 的 应 用 环境 中 ,移动 节点 在 不 同 网 络 之 间 漫 游 ,其 通信 对 
等 节点 也 分 散在 不 同 的 网 络 中 ,这 些 网 络 采取 的 安全 机 制 可 能 各 不 相同 ,而 且 网 络 之 间 不 存 
在 必要 的 安全 信任 关系 。 这 就 要 求 移动 IP 的 安全 机 制 具 有 较 好 的 可 扩展 性 ,以 满足 各 种 不 
同 的 网 络 安全 机 制 。 

@ 兼容 性 。 在 移动 IP 协议 中 ,通信 对 端 可 以 是 网 络 中 的 任何 节点 ,这 些 节 点 可 能 具有 
固定 网 络 中 的 安全 机 制 ,移动 IP 协议 的 安全 体系 不 应 该 影响 其 原 有 的 安全 机 制 。 

@ 复杂 性 。 使 用 移动 IP 协议 的 移动 设备 的 计算 能 力 和 能 量 较 低 ,因而 移动 IP 的 安全 
体系 应 该 尽 可 能 简单 ,计算 量 小 。 安 全 体系 还 要 考虑 移动 节点 快速 移动 中 通信 量 的 切换 问 
题 。 为 了 减少 切换 造成 的 延迟 ,要求 安全 协议 进行 消息 交换 的 次 数 要 少 ,最 好 能 够 与 移动 
IP 协议 的 消息 一 起 传输 。 

根据 移动 IP 协议 自身 的 特点 ,以 及 特殊 的 应 用 环境 ,有 人 提出 了 一 些 保 护 移动 IP 协议 
的 安全 性 的 方案 ,以 弥补 移动 IP 协议 安全 能 力 的 不 足 ,其 中 包括 采用 AAA 框架 的 认证 系 
统 . 采 用 公 钥 体制 的 方案 ,以 及 解决 移动 IP 穿越 防火 墙 的 方案 等 。 下 面 介绍 几 种 具有 代表 
性 的 移动 IP 的 安全 技术 。 


9.6.1 基于 AAA 的 移动 IP 认证 机 制 


可 以 使 用 AAA 框架 实现 对 移动 IP 的 认证 ,利用 公 钥 体制 实现 认证 协议 。 该 协议 具有 
如 下 假定 。 

Q@ 在 移动 节点 与 外 地 AAA 服务 器 AAAF(foreign AAA server) 之 间 没 有 安全 关联 。 

@ 移动 节点 与 家 乡 AAA 服务 器 AAAH(home AAA server) 共 享 一 个 基于 秘密 密 钥 
的 安全 关联 。 

下 面 给 出 该 协议 的 注册 过 程 。 

@ 外 地 代理 发 现 。 移 动 节点 一 旦 进入 某 个 外 地 网 络 ,就 必须 与 该 网 络 中 的 外 地 代理 取 
得 联系 。 为 此 ,移动 节点 必须 能 够 识别 外 地 代理 。 外 地 代理 以 一 定时 间 间 隔 发 送 代理 通告 
消息 ,其 中 包括 外 地 代理 认证 协议 列表 和 AAAF 标识 扩展 。 

@ 移动 节点 注册 请 求 的 产生 。 移 动 节点 一 旦 收 到 外 地 代理 通告 消息 , 便 产 生 一 个 注册 请 
求 。 除 了 注册 请 求 的 定 长 部 分 ,还 包含 移动 节点 的 网 络 访问 标识 符 Cnetwork access identifier， 
NAD) ,移动 节点 API 扩展 ,并 将 API 字段 设置 为 3 表示 Min PKA 协议 。 同 时 还 有 AAA 
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标识 扩展 ,封装 的 外 地 代理 通告 (encapsulated foreign agent advertisement,EFAA) ,以 及 用 
移动 节点 与 AAAH 共享 的 秘密 密 钥 产 生 的 消息 认证 码 。 

@ 外 地 代理 对 注册 请 求 的 处 理 。 外 地 代理 收 到 由 移动 节点 用 外 地 代理 的 公 钥 加 密 的 
注册 请 求 之 后 ,用 它 自己 的 私 钥 解密 该 消息 。 外 地 代理 不 需要 进行 认证 , 它 只 是 观察 
EFAA 来 确保 该 注册 请 求 是 对 最 近 发 出 的 代理 通告 的 响应 。 一 旦 成 功 验证 EFAA ,外 地 代 
理 就 将 移动 节点 的 注册 请 求 转 发 给 AAAF。 

@ AAAF 对 注册 请 求 的 处 理 。 收 到 来 自 移动 节点 的 注册 请 求 之 后 ,AAAEF 在 该 请 求 
消息 之 后 附加 外 地 一 一 家 乡 认 证 信息 。 该 认证 信息 包括 由 AAAF 产生 的 一 个 对 AAAH 的 
询问 (挑战 字 )。 同 时 还 包括 AAAF 证 书 的 副本 及 对 所 有 请 求 消息 字段 的 一 个 数字 签名 。 
然后 AAAF 将 该 请 求 转 发 给 AAAH。 

@@ AAAH 对 注册 请 求 的 验证 。AAAH 用 AAAF 的 证 书 中 的 公 钥 解密 该 消息 。 这 就 
可 以 证 明 该 消息 是 由 拥有 一 对 公 钥 私 钥 的 节点 产生 的 ,同时 证 书 可 以 进一步 确保 该 消息 由 
AAAF 产生 。AAAH 用 它 与 移动 节点 共享 的 秘密 密 钥 验 证 移动 节点 的 注册 请 求 消息 中 的 
消息 认证 码 。 这 样 ,AAAH 就 对 移动 节点 和 AAAEF 的 身份 进行 了 认证 。 于 是 ,AAAH 将 
必要 的 注册 请 求 信 息 转发 给 家 乡 代理 来 更 新 移动 节点 的 移动 绑 定 。 

@ AAAH 注册 应 答 的 产生 。AAAH 产生 一 个 注册 应 答 消 息 , 其 中 包括 移动 节点 的 
NAI,AAAH 与 移动 节点 共享 的 秘密 密 钥 产生 的 消息 认证 码 的 移动 一 一 家 乡 AIM 扩展 ， 
AAAF 产生 的 挑战 字 及 AAAH 的 证 书 , 然 后 是 对 整个 应 答 消 息 字 段 产生 的 数字 签名 。 

@ AAAF 对 注册 应 答 的 认证 。AAAEF 收 到 注册 应 答 之 后 ,用 AAAH 证 书 中 的 公 钥 解 
密 该 消息 。 验 证 AAAH 响应 了 一 个 正确 的 挑战 应 答 值 。 然 后 通过 安全 链 路 转发 该 消息 给 
外 地 代理 。 

@ 外 地 代理 对 注册 应 答 的 处 理 。 外 地 代理 收 到 来 自 AAAF 的 注册 应 答 之 后 ,直接 转 
发 给 移动 节点 。 

@ 移动 节点 对 注册 应 答 的 处 理 。 移 动 节点 收 到 来 自 外 地 代理 的 注册 应 答 消 息 , 验 证 移 
动 一 一 家 乡 认证 扩展 中 的 消息 认证 码 的 合法 性 。 

基于 移动 IP 协议 中 的 信任 关系 ,该 协议 假定 AAAH 的 验证 可 以 证 明 注 册 请 求 来 自 合 
法 的 移动 节点 。 移 动 节点 也 依赖 于 AAAH 的 认可 来 保证 AAAF 身份 的 真实 性 及 被 访问 网 
络 能 够 提供 合格 的 服务 。 对 AAAH 身份 的 合法 性 的 验证 是 通过 AAAH 产生 的 注册 应 答 
消息 的 数字 签名 来 实现 的 。AAAH 能 够 通过 消息 认证 码 来 确保 注册 请 求 消息 来 自 一 
法 的 移动 节点 。 同 时 ,AAAH 通过 检查 注册 请 求 中 AAAF 的 数字 签名 来 对 AAAF 进行 认 
证 。 而 移动 节点 能 够 确信 注册 应 答 确 实 来 自 AAAH ,因为 在 注册 应 答 中 包含 合法 的 消息 认 
证 码 。 为 了 防止 重 放 攻击 ,该 协议 要 求 在 AAAF 的 注册 请 求 和 AAAH 的 注册 应 答 中 必须 
包含 AAAF 的 挑战 字 。 

该 协议 提供 了 移动 实体 之 间 的 认证 ,保护 了 移动 IP 的 注册 消息 。 从 该 协议 中 可 以 看 
出 ,有 关公 和 钥 的 计算 主要 集中 在 计算 能 力 相 对 较 强 的 AAA 服务 器 和 移动 代理 ,而 移动 节点 
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则 几乎 不 需要 进行 公 钥 计算 。 但 是 由 于 引入 了 公 钥 体制 , 当 应 用 于 无 线 环境 中 时 ,仍然 可 能 
会 产生 额外 的 延迟 。 所 以 该 协议 在 消息 延迟 方面 不 具 优 势 。 


9.6.2 基于 公 钥 的 移动 IP 安全 构架 


John Zao 等 人 提出 了 一 种 称 为 MoIPS(mobile IP security) 的 公 钥 管理 系统 ,可 以 用 于 
IETF 的 移动 IP 标准 协议 。MoIPS 提供 了 对 移动 IP 的 管理 消息 的 认证 ,如 移动 节点 的 位 
置 更 新 ,对 外 地 网 络 资源 的 访问 控制 及 重 定向 IP 分 组 的 安全 隧道 。 为 了 提供 这 些 服务 ,该 
方案 的 作者 提出 了 一 种 基于 公 钥 的 系统 结构 。 

在 基本 移动 IP 协议 中 的 注册 消息 和 路 由 优化 的 移动 IP 协议 中 的 位 置 绑 定 消息 中 都 包 
含 位 置 绑 定 信 息 。 一 个 攻击 者 可 以 通过 改变 这 些 位 置 绑 定 信息 ,创建 伪造 的 消息 ,或 者 重 放 
预先 录 下 的 消息 ,将 消息 流向 从 一 个 节点 重 定向 到 另 一 个 节点 。 为 了 克服 这 些 问 题 ,必须 为 
注册 消息 和 绑 定 更 新 消息 提供 数据 认证 ,数据 源 认 证 和 防止 重 放 攻击 的 服务 。 因 此 ,该 方案 
提议 使 用 一 个 64 位 的 标识 字段 来 抵御 重 放 攻 击 ,以 及 一 个 或 多 个 认证 标识 字段 来 提供 消息 
完整 性 和 消息 源 认 证 。 

为 了 获得 访问 控制 ,移动 节点 必须 完成 注册 并 得 到 对 被 访问 网 络 的 一 个 接 人 点。 为 此 
必须 证 实 移 动 节点 的 身份 和 当前 的 状态 。 在 该 协议 中 ,通过 交换 公 钥 证 书 可 以 验证 移动 节 
点 的 身份 。 移 动 节点 的 状态 可 以 通过 在 外 地 代理 和 家 乡 代 理 之 间 交 换 经 过 认证 的 注册 请 求 
和 注册 应 答 消息 来 隐 含 地 得 到 。 

当 移动 节点 漫游 到 远离 家 乡 网 络 的 地 方 时 ,将 需要 安全 隧道 来 传输 来 往 于 移动 节点 和 
家 乡 网 络 的 数据 。 同 样 , 外 地 代理 要 为 移动 节点 转发 数据 ,在 外 地 网 络 中 的 数据 也 需要 有 一 
个 经 过 认证 并 且 可 信 的 实体 如 家 乡 代 理 来 重 定 向 。 这 些 安全 隧道 可 以 采用 IPSec 中 的 隧道 
模式 来 实现 。 

该 方案 中 基于 公 钥 的 管理 系统 包含 以 下 三 个 安全 方面 的 支持 。 

J 一 个 可 升级 的 密 钥 管 理 系统 ,能 够 为 任意 一 对 节点 产生 并 分 配 长 期 的 密 钥 参数 。 

@ 一 个 快速 的 短期 密 钥 产 生 算法 ,用 于 提供 对 移动 IP 注册 和 绑 定 更 新 消息 的 认证 所 
需要 的 短期 密 钥 。 

@ 移动 IP 协议 与 IPsec 协议 的 协作 。 

John Zao 等 人 开发 一 个 公 钥 管理 系统 来 管理 那些 签发 给 Internet 节点 的 公 钥 证 书 和 证 
书 撤销 列表 。 他 们 还 选择 使 用 Internet 域名 服务 系统 DNS 作为 主要 的 证 书 仓 库 。 之 所 以 
选择 DNS, 是 因为 Internet 节点 是 通过 域名 或 IP 地 址 来 标识 的 ,而 两 者 都 由 DNS 来 保存 。 
因此 , 当 通 信和 是 由 DNS 查找 建立 起 来 的 时 候 ,DNS 证 书 的 获取 可 以 通过 正常 的 网 络 实体 之 
间 的 消息 交换 来 实现 。 

使 用 公 钥 基础 设施 PKI 技术 的 主要 优点 是 可 扩展 性 。 基 于 DNS 的 PKI 系统 与 密 钥 分 
发 中 心 (key distribution center,KDC) 相 比 有 着 明显 的 优势 ,这 是 因为 DNS 解决 了 潜在 的 
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复杂 的 服务 器 发 现 问题 ,而 且 经 过 鉴定 的 长 期 公 钥 排除 了 对 实时 密 钥 分 发 的 需求 。 公 钥 是 
离线 地 由 证 书 机 构 签发 ,而 KDC 是 在 线 地 引入 了 可 信任 的 第 三 方 ,这 使 得 可 扩展 性 成 为 系 
统 的 瓶颈 。 图 9. 20 给 出 了 MoIPS 的 系统 结构 图 。 


jp | 一 | 审 负 管理 | _ DNS 公 印 证 书 管理 
移动 了 协议 目录 统 
直接 证 书 
IPSec “| 一 | 密码 引擎 交换 


图 9. 20 MoIPS 系统 结构 框图 


在 MoIPS 系统 中 ,移动 IP 和 IPSec 模块 都 利用 了 一 个 密 钥 管理 模块 和 一 个 密码 引擎 。 
密 钥 管理 模块 产生 安全 服务 所 需 的 长 期 密 钥 ,而 密码 引擎 则 执行 实际 的 密码 操作 。 密 钥 和 
其 他 安全 参数 保存 在 一 个 受 保护 的 数据 库 中 传送 给 密码 引擎 。 证 书 验证 者 维护 一 个 接受 的 
和 已 验证 的 证 书 缓存 ,来 减少 证 书 获取 和 签名 验证 操作 的 数量 。 为 了 便于 集成 不 同 开发 商 
的 各 种 证 书 管理 系统 ,MoIPS 没有 包括 CA 的 实现 。 

X. 509 证 书 中 有 一 些 比较 重要 的 字段 ,如 IssuerALtName 用 于 证 书 等 级 的 建立 ， 
CertPolicy 允许 包含 特殊 策略 信息 来 指出 一 个 节点 是 移动 节点 还 是 固定 节点 ,是 家 乡 代理 
还 是 外 地 代理 或 者 两 者 都 是 ,而 KeyUsage 字段 详细 说 明了 密 钥 参数 的 用 途 。 

为 了 产生 一 个 用 于 认证 服务 的 短期 密 钥 ,MoIPS 系统 使 用 Diffie-Hellman 算法 。 开 发 
这 样 的 短期 密 钥 的 主要 设计 目标 如 下 。 

。 由 所 有 移动 节点 和 移动 代理 使 用 。 

。 不 修改 移动 IP 消息 和 扩展 的 格式 。 

。 不 用 于 加 密 操作 。 

。 有 力 地 保护 主 密 钥 。 

。 与 其 他 基于 Diffie-Hellman 的 协议 相关 性 低 。 

为 了 降低 选择 IPSec 隧道 过 程 中 的 通信 开支 ,所 有 消息 交换 将 作为 移动 IP 认证 控制 消 
息 的 扩展 来 实现 。 进 行 隧道 选择 所 需 的 消息 交换 的 顺序 如 下 。 

@ 移动 节点 根据 代理 请 求 和 代理 通告 消息 选择 它 与 外 地 代理 之 间 的 IPSec 隧道 ,还 要 
根据 它 自己 的 安全 策略 选择 MN 一 HA 隧道 。 

@ 移动 节点 把 它 的 选择 记录 在 一 个 隧道 选择 扩展 (如 图 9. 21 所 示 ) 中 与 注册 请 求 消 息 
一 起 发 送 给 外 地 代理 。 一 旦 收 到 该 消息 ,外 地 代理 经 过 检查 之 后 转发 给 家 乡 代理 。 

@ 收 到 注册 请 求 消息 之 后 ,家 乡 代 理 检查 隧道 选择 并 发 送 注册 应 答 消息 。 当 实现 了 所 
选择 的 分 组 隧道 时 ,IPSec 数据 认证 和 数据 保密 性 服务 使 得 移动 节点 可 以 像 连接 在 家 乡 网 
络 上 一 样 ,获得 网 络 连接 并 进行 安全 通信 。 在 该 模型 中 采用 了 ESP 的 隧道 模式 。 

下 面 是 对 该 模型 的 几 个 假定 。 
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类 型 | 长 度 -2 |F[R| F[R| F]R| 保留 
HA FA HA 
MN 隧道 FA 隧道 


图 9.21 移动 IP 注册 请 求 中 的 隧道 选择 扩展 


。 为 了 更 好 地 利用 该 框架 ,外 地 代理 和 家 乡 代理 应 该 提供 加 解密 和 基于 认证 的 分 组 

。 受 防火 墙 保护 的 子 网 必须 能 够 使 距离 移动 节点 最 近 的 防火 墙 作 为 外 地 代理 ,而 网 络 
中 所 有 其 他 防火 墙 应 该 允许 IPSec 分 组 通过 。 

。 受 防火 墙 保护 的 子 网 必须 能 够 使 距离 移动 节点 最 近 的 防火 墙 作 为 家 乡 代理 ,而 网 络 
中 所 有 其 他 防火 墙 应 该 允许 IPSec 分 组 通过 。 

可 能 选择 的 IPSec 隧道 包括 MN 一 CN、 MN 一 HA、HA 一 FA 和 MN 一 FA。 其 中 ， 
MN 一 CN 是 端 到 端的 隧道 ,可 以 不 考虑 移动 IP 的 存在 。 然 而 , 当 移 动 节 点 改变 位 置 时 ,这 
些 隧 道 可 能 被 频繁 地 建立 。 其 他 的 三 种 隧道 中 , MN 一 HA 隧道 最 有 用 ,而 NN 一 FA 作用 
最 小 。 

。 HA 一 FA 隧道 : 家 乡 代理 和 外 地 代理 之 间 的 MIP 一 IPSec。 隧 道 的 建立 最 简单 , 因 

为 IPSec 隧道 很 容易 附加 在 现 有 的 移动 IP 隧道 之 上 。 当 它们 用 于 提供 数据 认证 和 
保密 时 ,这 些 隧道 在 家 乡 网 络 和 外 地 网 络 之 间 提 供 了 一 个 VPN 连接 。 

。 MN 一 HA 隧道 : 提供 了 数据 源 认 证 和 保密 性 ,是 最 有 用 的 隧道 ,因为 它 在 移动 节点 

和 家 乡 网 络 之 间 提 供 了 一 条 安全 的 通信 和 路径 。 数 据 源 认 证 防止 了 欺骗 ,而 保密 性 避 
免 了 数据 被 窃听 。 建 立 MN 一 HA 隧道 的 开销 最 大 ,因为 它 不 是 分 组 重 定向 机 制 的 
一 部 分 ,而 且 总 是 存在 一 个 外 地 代理 的 干涉 。 这 就 导致 了 外 地 代理 处 的 瓶颈 ,而 且 
增加 了 可 信任 实体 的 数量 。 

。 MN 一 FA 隧道 : 用 于 没有 链 路 层 保护 的 情况 。 它 为 移动 节点 提供 了 在 外 地 网 络 上 

的 数据 保密 性 ,以 及 MN 一 HA 交换 过 程 中 的 数据 源 认 证 。 只 有 当 移 动 节点 选择 使 
用 外 地 代理 的 转交 地 址 时 才 采 用 这 种 隧道 。 应 该 尽量 避免 采用 这 种 隧道 ,减少 不 必 
要 的 开销 。 

MoIPS 系统 提供 了 移动 IP 的 管理 消息 的 认证 及 重 定向 IP 分 组 的 安全 隧道 ,在 可 扩展 
性 方面 和 安全 性 方面 确实 具有 一 定 的 优势 。 但 是 由 于 该 系统 采用 了 公 钥 基础 设施 ,安全 隧 
道 的 建立 涉及 的 协议 包括 IPSec 和 IKE, 这 对 于 计算 能 力 较 低 的 移动 节点 和 大 规模 网 络 中 
的 移动 代理 意味 着 较 高 的 数据 延迟 和 网 络 负荷 。 

目前 ,尽管 公 钥 算法 能 够 提供 足够 好 的 安全 性 ,但 是 关于 在 移动 IP 中 使 用 公 钥 体制 的 
问题 还 存在 很 大 争议 。 因 为 在 要 求实 时 通信 的 条 件 下 ,在 计算 能 力 有 限 的 移动 设备 中 采用 
公 钥 算法 必定 引入 相当 大 的 延迟 。 但 是 , 随 着 移动 计算 技术 的 不 断 提高 ,也许 公 钥 体 制 很 快 
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就 能 够 在 移动 通信 中 得 到 广泛 的 应 用 。 
9.6.3 移动 IPSec 方案 


利用 IPSec 隧道 可 以 增强 移动 IP 的 安全 性 ,可 以 建立 多 种 隧道 ,如 移动 节点 一 家 乡 代 
理 隧 道家 乡 代理 一 外 地 代理 隧道 及 外 地 代理 一 移动 节点 隧道 等 。 

例如 ,瑞士 伯尔尼 大 学 提出 了 一 种 称 为 SecMIP(secure mobile IP) 的 方案 ,以 解决 移动 
用 户 安全 访问 受 防 火 墙 保护 的 VPN 的 问题 。 如 图 9. 22 所 示 ,该 方案 中 的 场景 涉及 一 个 专 
用 网 络 和 一 个 非 军事 区 DMZ, 防 火 墙 位 于 专用 网 络 和 非 军事 区 之 间 , 是 进入 企业 专用 网 络 
的 唯一 入 口 ,这 样 简化 了 安全 管理 问题 。 在 该 方案 中 ,所 有 属于 专用 网 络 的 移动 节点 和 来 自 
其 他 网 络 的 访问 节点 都 被 置 于 DMZ 中 。 因 为 属于 企业 的 移动 节点 必须 穿越 防火 墙 来 访问 
专用 网 络 ,它们 必须 使 用 IPSec 来 向 防火 墙 认 证 其 身份 。 


移动 节点 1 
外 地 代理 
I 
> 防火墙 无 线 访问 点 路 由 器 


移动 节点 2 ”DHCP 服 务 器 
图 9.22 ”SecMIP 的 配置 场景 


移动 节点 进入 外 地 网 络 后 ,监听 周期 性 地 向 非 军事 区 发 送 外 地 代理 通告 消息 。 某 些 情 
况 下 移动 节点 可 以 发 送 代 理 请 求 消息 来 得 到 一 个 代理 通告 消息 。 一 旦 收 到 新 的 代理 通告 消 
息 ,移动 节点 得 知 它 已 经 进入 了 一 个 新 的 区 域 . 于 是 销毁 所 有 旧 的 IPSec 隧道 。 这 时 移动 节 
点 可 以 从 一 个 DHCP 服务 器 或 者 外 地 代理 那里 得 到 一 个 新 的 IP 地 址 。 该 方案 的 作者 并 没 
有 提 到 在 移动 节点 和 外 地 代理 之 间 的 任何 认证 过 程 。 如 果 假 定 移动 节点 和 外 地 代理 之 间 没 
有 认证 ,那么 一 个 恶意 的 节点 便 有 可 能 得 到 一 个 IP 地址。 尽管 恶意 节点 不 能 成 功 地 伪装 成 
其 他 合法 节点 并 得 到 发 给 它 的 数据 分 组 .但 是 当 恶 意 节点 数量 很 多 时 ,将 导致 外 地 网 络 
DHCP 服务 器 的 IP 地 址 的 耗 尽 。 

因为 数据 分 组 要 穿 过 不 安全 的 公众 网 络 , 合 理 的 解决 办 法 是 在 移动 节点 和 家 乡 网 络 之 
间 交 换 任何 移动 IP 消息 之 前 ,在 移动 节点 的 转交 地 址 和 家 乡 网 络 的 防火 墙 之 间 建 立 一 个 
IPSec 隧道 。IPSec 隧道 为 所 有 移动 IP 注册 过 程 中 发 送 的 IP 分 组 提供 认证 性 、 完 整 性 和 保 
密 性 。 接 下 来 移动 节点 要 将 其 当前 的 转交 地 址 注册 到 它 的 家 乡 代 理 。 家 乡 代 理 和 移动 节点 
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之 间 所 有 的 移动 IP 注册 消息 通过 IPSec 隧道 传输 ,因此 不 需要 额外 的 认证 和 加 密 。 

直到 下 一 次 的 移动 之 前 ,移动 节点 可 以 和 任何 专用 网 络 之 内 或 之 外 的 节点 进行 通信 。 
出 于 安全 的 考虑 ,移动 节点 和 通信 对 端 之 间 的 所 有 数据 传输 都 要 经 过 家 乡 代理 。 在 不 需要 
安全 服务 的 情况 下 ,移动 节点 可 以 直接 和 通信 对 端 通信 。 经 过 加 密 和 认证 的 移动 IP 分 组 由 
家 乡 防火 墙 解密 并 拆 封 后 发 送 给 家 乡 代 理 。 家 乡 代理 最 终 拆 封 这 些 移 动 IP 分 组 ,并 转发 给 
最 终 的 接收 者 。 

该 方案 能 够 允许 移动 节点 访问 受 防 火 墙 保护 的 VPN 网 络 , 它 基于 现 有 的 标准 ,而 且 只 
需要 对 现 有 协议 进行 最 少 的 修改 。 但 是 它 的 不 足 之 处 在 于 ,由 于 移动 节点 始终 不 能 真正 回 
到 家 乡 网 络 , 只 能 在 非 军 事 区 内 与 家 乡 网 络 内 的 节点 通信 ,因此 所 有 的 数据 分 组 都 要 进行 严 
格 的 加 密 和 认证 ,这 将 导致 大 量 的 IP 分 组 频繁 出 入 非 军事 区 ,给 本 来 就 已 经 繁忙 的 防火 墙 
带 来 了 额外 的 负担 。 而 且 大 量 的 敏感 数据 在 专用 网 络 之 外 传输 ,也 会 带 来 安全 上 的 隐患 。 
另外 ,移动 IP 的 注册 消息 封装 在 IPSec 隧道 中 ,多 重 封 装 也 会 带 来 协议 上 的 复杂 性 。 


9.6.4 穿越 防火 墙 的 IP 移动 方案 


Stefan Mink 等 人 针对 移动 IP 面 对 私 有 地 址 、 防 火 墙 ` 网 络 地 址 转换 及 服务 质量 时 产生 的 
问题 ,提出 了 一 种 无 意识 的 透明 穿越 防火 墙 的 Internet 移动 体系 (firewall aware transparent 
Internet mobility architecture. FATIMA)., 

FATIMA 的 基本 特征 如 下 。 

@ 对 于 移动 节点 和 通信 对 端的 透明 性 。 任 何 新 的 移动 IP 扩展 对 于 这 些 节点 必须 是 隐 
藏 的 。 

@ 关键 性 安全 功能 的 集中 化 。 这 种 性 质 是 使 用 防火 墙 的 主要 好 处 。 

G 所 有 场合 中 的 相互 认证 。 这 种 认证 可 以 防止 伪造 消息 。 

@ 高 效 的 微 移动 支持 。 在 同一 网 络 的 子 网 之 间 的 移动 能 够 比 不 同 网 络 之 间 的 移动 更 
有 效 地 被 控制 。 

这 种 体系 中 ,涉及 的 实体 包括 FATIMA 网 关 、 家 乡 / 外 地 代理 人 (proxy)、 外 地 代理 和 
路 由 代理 。FATIMA 网 关 是 中 心 移 动 支持 代理 , 它 位 于 网 络 防火 墙 非 军 事 区 的 堡垒 主机 
中 。 所 有 的 外 地 代理 都 由 相对 更 简单 的 相应 的 代理 人 FAP(FA proxy) 来 代替 。FAP 不 处 
理 任何 来 自 移动 节点 的 注册 请 求 消息 ,而 只 是 将 这 些 消 息 传 给 FATIMA 网 关 。 类 似 地 ,所 
有 家 乡 代理 由 相应 的 代理 人 HAP(HA proxy) 来 代替 ,只 用 于 重 定向 数据 分 组 ,而 所 有 的 注 
册 请 求 都 由 家 乡 网 络 的 FATIMA 网 关 来 处 理 。 在 一 个 拥有 众多 子 网 的 大 型 网 络 中 ,包括 
大 量 的 HAP 和 FAP, 路 由 代理 用 于 创建 一 个 FAI.IMA 网 关 路 由 器 和 代理 人 之 间 的 等 级 
体系 。 以 上 所 有 实体 均 采 用 ESP 的 隧道 模式 来 路 由 从 父 节点 到 子 节点 的 IP 分 组 。 

FATIMA 模型 中 数据 分 组 的 路 由 : 在 该 模型 中 , 当 移 动 节点 在 外 地 网 络 时 ,任何 发 往 
移动 节点 的 数据 分 组 首先 由 HAP 截获 ,并 路 由 到 外 地 网 络 的 FATIMA 网 关 路 由 器 。 然 
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而 , 当 位 于 外 地 网 络 中 的 移动 节点 发 送 分 组 给 另 一 个 位 于 同一 外 地 网 络 的 移动 节点 时 ,拥有 
这 两 个 节点 的 入口 记录 的 中 间 路 由 代理 能 够 直接 将 该 分 组 转发 给 目标 移动 节点 。 由 于 分 组 
不 必 始 终 通 过 家 乡 代理 再 返回 移动 节点 ,这 样 大 大 提高 了 效率 。 

当 移 动 节点 发 送 分 组 给 位 于 同一 外 地 网 络 中 的 固定 主机 ,或 者 该 固定 主机 发 送 分 组 给 
位 于 同一 外 地 网 络 中 的 移动 节点 时 ,该 分 组 将 始终 被 转发 到 FATIMA 网 关 路 由 器 再 路 由 
到 目标 主机 。 即 使 在 这 种 情况 下 ,效率 也 得 到 了 提升 ,因为 分 组 并 不 经 过 家 乡 代理 。 在 所 有 
的 实体 之 间 都 需要 认证 , 即 FATIMA 网 关 路 由 器 .路 由 代理 和 移动 节点 之 间 。 在 FATIMA 
中 ,确定 了 以 下 认证 实例 。 

@ 网 络 基 础 构架 实体 之 间 的 相互 认证 。 这 主要 是 指 FATIMA 网 关 路 由 器 ,路 由 代理 ， 
以 及 属于 同一 网 络 的 FAP 和 HAP。 这 些 认证 通过 使 用 ESP 的 隧道 模式 来 实现 。 

@ 移动 节点 和 家 乡 网 络 基础 构架 之 间 的 相互 认证 。 为 实现 这 种 在 移动 节点 和 家 乡 网 
络 FATIMA 网 关 路 由 器 之 间 的 认证 ,在 注册 请 求 中 要 包含 MN 一 HA 认证 扩展 。 该 认证 扩 
展 很 容易 建立 ,因为 移动 节点 和 家 乡 网 络 FATIMA 网 关 路 由 器 都 属于 同一 管理 区 域 。 

@ 家 乡 网 络 和 外 地 网 络 基础 构架 之 间 的 相互 认证 。 这 种 相互 认证 ,通过 使 用 HA 一 FA 
认证 扩展 来 实现 。 该 扩展 在 采用 PKI 的 情况 下 非常 易于 实现 。 然 而 ,即使 在 没有 PKI 的 情 
况 下 ,由 于 每 个 网 络 中 只 有 一 个 FATIMA 网 关 路 由 器 而 有 大 量 的 外 地 代理 和 家 乡 代理 ,这 
种 方法 大 大 减少 了 家 乡 网 络 和 外 地 网 络 之 间 需 要 的 安全 关联 的 数量 。 

@ 移动 节点 和 外 地 网 络 基 础 构架 之 间 的 相互 认证 。 这 可 以 通过 由 家 乡 网 络 FAI、IMA 
网 关 路 由 器 提供 的 认证 来 实现 。 如 果 家 乡 网 络 的 FATIMA 网 关 路 由 器 认可 外 地 网 络 路 由 
器 ,也 就 隐 含 地 为 移动 节点 提供 了 对 外 地 网 络 的 认证 。 类 似 地 ,如 果 家 乡 网 络 的 FATIMA 
网 关 路 由 器 认可 了 移动 节点 ,也 就 隐 含 地 为 外 地 网 络 提供 了 对 移动 节点 的 认证 。 

这 种 方案 在 安全 性 方面 比较 完善 ,在 所 有 实体 之 间 都 提供 了 相互 认证 。 但 是 ,由 于 该 方 
案 中 引入 了 较 多 的 新 的 实体 ,明显 地 与 现 有 的 移动 IP 标准 和 基于 IPSec 的 VPN 网 关 不 兼 
容 ,而且 方案 的 复杂 性 较 高 ,对 于 现 有 的 系统 升级 需要 的 费用 非常 庞大 。 


思考 题 


. 常用 的 增强 无 线 局 域 网 的 安全 技术 有 哪些 ? 
.802. 1x 认证 协议 的 原理 和 实现 方法 是 什么 ? 
. WAPI 的 工作 原理 是 什么 ? 

. 增强 移动 IP 网 络 安全 的 措施 和 方法 有 哪些 ? 


WD 
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Web Service 与 网 格 安全 


10.1 Web Service 及 其 安全 性 概述 


10.1.1 Web Service 简介 


Web Service( Web 服务 ) 是 一 种 基于 网 络 的 ,分 布 式 、 模 块 化 的 应 用 程序 ,具有 面向 服务 
的 体系 结构 (service oriented architecture,SOA) 的 特性 。Web Service 中 ,各 种 异 构 的 应 用 
程序 或 可 执行 代码 的 程序 块 被 使 用 标准 的 语法 (web service definition language, WSDL) 进 
行 描述 ,并 使 用 一 种 通用 的 格式 , 即 简单 对 象 访问 协议 (simple object access protocol， 
SOAP) 进 行 封装 和 传输 ,实现 资源 共享 。 这 种 i 


标准 化 和 通用 性 使 得 企业 之 间 可 以 互相 通信 ，  ，，，。 

A i 于 查找 服务 绑 定 、 调 用 服务 
并 且 不 需要 了 解 对 方 实际 的 IT 设施 和 资源 ， (wsDL, UDDD (SOAP) 

从 而 实现 异 构 资 源 的 共享 与 整合 。Web 

Service 是 自 包含 .模块 化 的 应 用 程序 ,可 以 在 | 腾 务 注册 中 心 妆 交 布 服务 | 耻 务 提供 者 


网 络 ( 通 常 通过 Web 方式 ) 中 被 描述 发布. 查 人 
找 及 调用 。Web Service 也 称 为 应 用 服务 图 10.1 Web Service 体系 结构 


(application services) ,其 体系 结构 如 图 10. 1 所 示 。 

Web Service 包括 三 种 主要 角色 : 服务 请 求 者 、 服 务 提供 者 及 服务 注册 中 心 , 相 应 的 交 
互 行为 是 发 布 服务 .查找 服务 . 绑 定 和 调用 服务 。Web Service 使 用 的 主要 协议 或 语言 包括 
XML SOAP、WDSL 和 UDDI(universal description discovery and integration) 等 。 其 中 ， 
XML 用 来 标记 数据 ,为 基本 的 数据 描述 语言 SOAP 用 来 传输 数据 ; WSDL 用 来 描述 服 
务 ,而 UDDI 用 来 注册 服务 。 

服务 提供 者 是 服务 的 所 有 者 , 它 通过 标准 、 规 范 的 基于 XML 的 WSDL 描述 语言 ,描述 
与 Web Service 进行 交互 的 具体 细节 ,包括 使 用 的 传输 协议 、 消 息 格式 等 。 同 时 ,服务 提供 


360 计算 机 网 络 安全 一 一 协议 、 技 术 与 应 用 


者 的 服务 通过 UDDI 在 服务 注册 中 心 进行 发 布 。 服 务 请 求 者 是 要 求 获 得 某 些 特定 服务 的 实 
体 , 它 们 可 以 直接 检索 服务 描述 ,也 可 以 在 服务 注册 中 心 查询 所 要 求 的 服务 类 型 。 当 发 现 合 
适 的 服务 时 ,服务 请 求 者 可 以 通过 SOAP 绑 定 或 调用 服务 提供 者 提供 的 服务 。 

SOAP 不 是 一 个 独立 的 网 络 通信 协议 ,而 是 建立 在 HTTP、SMTP 等 协议 基础 上 ,通过 
这 些 协 议 进 行 XML 格式 的 SOAP 消息 传送 的 ,但 同时 SOAP 也 是 独立 于 网 络 通信 协议 的 ， 
因为 它 不 依赖 于 某 一 个 具体 的 网 络 通信 协议 。 

由 于 WSDL 描述 语言 在 描述 Web Service 时 ,隐藏 了 服务 实现 的 细节 ,允许 通过 独立 
于 服务 实现 ,独立 于 软 、 硬 件 平台 及 编程 语言 的 方式 调用 Web Service。 因 此 Web Service 
具有 松散 耦合 性 ,特别 适合 于 异 构 环 境 。 

与 现 有 的 分 布 式 应 用 技术 相 比 , Web Service 具有 如 下 优点 。 

g@ 它 使 用 开放 式 标准 (UDDI.XML .SOAP、WSDL) ,很 好 地 解决 了 异 构 数据 的 表示 、 
传输 和 查询 的 问题 。 

@ 不 依赖 于 二 进 制 通信 。 传 统 的 分 布 式 技术 ,如 CORBAVIIOP.COMVDCOM 等 均 依 
赖 于 二 进 制 通信 ,这 使 得 通信 过 程 常常 被 防火 墙 阻 断 。Web Service 使 用 SOAP 协议 和 
XML 文本 很 好 地 解决 了 这 一 问题 。 

@ 具有 跨 平台 的 功能 。 传 统 的 分 布 式 技术 通常 情况 下 都 会 依赖 于 其 设计 的 平台 和 设 
计 语 言 , 这 就 大 大 限制 了 用 户 对 资源 的 使 用 。 而 Web Service 允许 任何 可 以 创建 XML 文档 
并 在 HTTP 上 发 送信 息 的 程序 设计 语言 与 其 交互 。 

@ 协议 简单 . 易 实 现 。 传 统 的 分 布 式 技 术 一 般 包 含 很 多 内 置 的 服务 ,如 事务 .安全 性 和 
加 密 , 这 些 特性 都 增加 了 额外 的 开销 ,而 且 往 往 会 产生 不 兼容 的 问题 。 而 Web Service 到 目 
前 为 止 还 没有 为 任何 高 级 别 的 服务 提供 和 指定 API。 这 使 得 Web Service 的 实现 变 得 非常 
简单 。 

由 于 具有 诸多 优点 ,使 得 Web Service 的 应 用 非常 广泛 ,目前 其 应 用 领域 大 致 可 以 分 为 
如 下 4 类 。 

@ 面向 商务 的 Web Service。 此 类 服务 针对 的 是 面向 企业 应 用 的 服务 。 如 企业 内 部 
ERP 系统 .企业 间 RCM 系统 等 。 它 可 以 使 公司 内 部 的 商务 处 理 更 加 自动 化 。 

@ 面向 消费 者 的 Web Service。 这 类 服务 主要 向 用 户 提 供 一 些 简单 的 功能 。 如 允许 用 
户 在 自己 的 客户 机 上 集成 网 上 购物 Web Service, 查 询 商 品 价格 、 定 购 商 品 ; 集成 医院 Web 
Service, 查 询 病情 、 预 定 专 家 门诊 等 。 这 样 不 仅 方便 了 消费 者 ,也 使 整个 过 程 自动 化 程度 
更 高 。 

@ 面向 系统 的 Web Service。 这 类 服务 是 将 现 有 不 同 的 应 用 程序 无 缝 地 结合 起 来 。 
通常 ,不 同 的 公司 .企业 会 根据 自身 的 特点 和 需求 设计 软件 系统 以 协助 管理 。 其 中 包含 
一 些 面向 系统 的 程序 如 身份 验证 。 如 果 将 这 些 程序 以 Web Service 的 形式 推广 到 Internet 
中 ,那么 原先 独立 的 公司 .企业 就 可 以 使 用 同一 个 验证 机 制 对 Web Service 用 户 进 行 身份 
认证 了 。 
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@ 面向 设备 的 Web Service。 这 类 服务 的 使 用 终端 一 般 是 手持 设备 ,如 手机 和 日 用 家 
电 等 ,这 种 服务 使 得 智能 化 家 电 的 广泛 应 用 成 为 可 能 。 


10.1.2 ”Web Service 的 安全 性 需求 


Web Service 的 分 布 式 、 异 构 的 本 质 及 其 开放 性 、 跨 平台 和 互 操作 性 等 特点 使 得 其 安全 
性 比 传 统 网 络 服 务 变 得 更 加 复杂 。Web Service 的 安全 性 需求 具有 如 下 特点 。 

(1) 端 到 端 安 全 

传统 的 安全 传输 协议 ,如 SSL 和 IPSec 只 能 在 点 对 点 的 情况 下 为 传输 层 提供 消息 的 完 
整 性 、 机 密 性 及 消息 来 源 的 鉴别 。 由 于 SOAP 消息 可 以 由 中 介 体 接收 并 处 理 , 所 以 即使 通 
信 双 方 的 通信 链 路 是 可 信任 的 ,如 果 在 中 介 体 之 间 没 有 信任 关联 (trust association) ,那么 中 
间 人 可 能 会 故意 或 通过 在 两 个 传输 层 的 安全 会 话 之 间 留 出 “空隙 ?来 泄露 信息 ,因此 , 端 到 端 
的 安全 难以 保证 。 

(2) 传输 独立 性 

Web Service 框架 只 定义 了 封装 消息 的 格式 ,并 没有 给 出 传递 消息 的 专用 协议 , 它 依靠 
和 应 用 层 协 议 的 绑 定 来 完成 消息 的 传送 任务 ,在 传送 消息 的 过 程 中 可 能 会 绑 定 不 同 的 传输 
协议 ,所 以 当 安 全 信息 (如 消息 发 送 者 的 身份 验证 ) 需 要 被 转移 到 消息 路 径 中 的 下 一 个 传输 
安全 域 时 ,可 能 会 导致 完整 性 方面 的 缺陷 。 

此 外 ,虽然 目前 Web Service 几乎 都 使 用 HTTP 作为 传输 载体 ,但 是 以 后 的 Web 
Service 需要 使 用 更 可 靠 的 消息 发 送 架构 ,因此 Web Service 的 安全 不 能 依赖 某 一 种 底层 网 
络 协议 的 安全 机 制 。 

(3) 元 素 级 安全 性 

XML 封装 的 数据 是 一 种 结构 化 的 数据 ,包含 了 控制 信息 和 消息 内 容 两 部 分 ,其 中 消息 
的 内 容 包括 需要 传送 的 各 种 层次 化 信息 。 如 果 将 XML 文档 整 篇 加 密 , 然 后 安全 地 发 送 给 
一 个 或 多 个 接收 方 , 可 以 通过 SSL 或 IPSec 实现 ,但 它们 无 法 实现 对 同一 文档 的 不 同 部 分 
进行 不 同 处 理 ,无 法 实现 对 不 同 元 素 组 的 授权 访问 。 例 如 在 进行 商务 交易 时 ,商家 可 能 需要 
知道 顾客 的 名 字 和 地 址 ,但 是 不 可 以 知道 顾客 使 用 的 信用 卡 的 情况 ; 而 在 银行 方面 就 需要 
知道 用 户 信用 卡 的 详细 情况 ,而 不 需要 知道 他 们 采购 商品 的 情况 。 显 然 , 对 于 这 种 安全 需求 
及 应 用 的 灵活 性 ,SSL、TLS 和 IPSec 是 无 能 为 力 的 ,而 对 不 同 对 象 采用 不 同 的 授权 级 别 在 
Web Service 中 是 必须 的 。 

(4) 终端 用 户 的 间接 访问 

很 多 情形 下 ,不 是 由 终端 用 户 直 接 访 问 Web Service, 而 是 由 第 三 方 代表 终端 用 户 访问 
Web Service。Web Service 无 法 了 解 终 端 用 户 的 实际 身份 ,因此 难以 做 出 相应 的 授权 决策 。 

例如 ,在 图 10. 2 中 .终端 用 户 通过 浏览 器 访问 一 个 商品 Web 站 点 ,做 商品 预定 。 预 定 
系统 是 一 个 Web Service ,商品 Web 站 点 通过 SOAP 协议 访问 此 服务 。 用 户 在 登录 商品 站 
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点 时 ,Web 站 点 服务 器 可 能 已 经 对 其 进行 了 身份 验证 (例如 采用 用 户 名 /密码 的 验证 方法 )。 
身份 验证 通过 后 ,商品 站 点 会 向 用 户 展示 其 商品 ,在 确定 用 户 希 望 预定 何 种 商品 后 , Web 站 
点 的 Web Service 服务 请 求 者 会 向 Web Service 服务 提供 者 发 出 预定 请 求 。 这 时 Web 
Service 服务 提供 者 只 能 看 到 商品 Web 站 点 ,而 看 不 到 终端 用 户 。 即 WWW 服务 终端 用 户 
的 身份 信息 无 法 传递 到 预定 系统 Web Service 的 服务 请 求 者 和 服务 提供 者 之 间 的 通信 过 程 
中 。 因 此 如 何 让 Web Service 验证 终端 用 户 的 身份 ,防止 非法 入 侵 , 是 Web Service 需要 解 
决 的 关键 安全 问题 之 一 。 


客户 


Web Service ep 下 
风电 请“| 服务 请 求 | 一 ”| 观 定 系统 


~ 


浏览 器 


图 10.2 Web Service 安全 性 示例 


为 建立 一 个 安全 的 Web Service, 通 常 需要 从 消息 的 机 密 性 、 完 整 性 及 访问 控制 等 方面 
加 以 考虑 。 消 息 的 机 密 性 用 于 保证 在 Web Service 的 通信 过 程 中 ,重要 、 私 有 的 数据 不 被 泄 
露 ,防止 未 经 授权 的 第 三 方 窃取 信息 。 消 息 的 完整 性 用 于 保证 消息 在 传输 过 程 中 不 被 第 三 
方 筑 改 ,确保 消息 在 传输 过 程 中 是 真实 可 靠 的 。 访 问 控制 用 于 防止 第 三 方 伪造 相关 信息 (如 
用 户 身份 等 ) ,非法 入 侵 而 破坏 系统 的 可 靠 性 真实 性 。 为 此 ,已 开发 了 许多 增强 Web 
Service 安全 性 的 行业 规范 ,主要 包括 两 类 安全 技术 。 

@ 用 XML 格式 表示 安全 数据 的 标准 。 这 类 规范 包括 XML 加 密 、XML 签名 等 。 

@ 用 于 保护 SOAP 消息 的 安全 规范 架构 ,由 WS-Security 规范 定义 。 其 目标 是 允 
许 应 用 程序 安全 地 交换 SOAP 消息 ,通过 整合 SOAP 模式 中 的 特殊 扩展 来 处 理 编码 和 
证 书 。 


10.2 Web Service 安全 技术 概述 


如 前 所 述 , 通 过 对 XML 及 SOAP 进行 安全 扩展 可 以 增强 Web Service 的 安全 性 ,包括 
XML 加 密 、XML 签名 和 WS-Security 等 。XML 加 密实 现 交换 信息 的 机 密 性 ,防止 未 经 授 
权 用 户 、 实 体 或 进程 窃取 信息 ; XML 签名 保证 消息 的 完整 性 和 一 致 性 ,使 未 授权 用 户 不 能 
算 改 或 删除 信息 ,并 可 提供 消息 的 抗 抵赖 性 ; WS-Security 安全 规范 提供 多 种 安全 模型 和 加 
密 技术 来 保护 Web Service 及 SOAP 消息 的 安全 ,并 且 可 以 把 有 关 安 全 性 的 声明 和 消息 关 
联 起 来 。 
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10.2.1 XML 签名 


XML 数字 签名 (XML digital signature) 是 由 W3C 和 IETF 共同 提出 的 一 个 规范 。 
XML 签名 并 不 是 执行 数字 签名 的 新 方法 , 非 对 称 加 密 和 散 列 技术 仍然 用 于 执行 实际 的 数 
字 签 名 。XML 签名 是 一 个 用 XML 表示 的 数字 签名 ,可 以 用 来 签名 XML 格式 的 数据 。 

XML 签名 在 Web Service 中 的 作用 是 能 够 选择 性 地 签名 XML 数据 。 例 如 ,可 以 签名 
传递 给 Web Service 方法 的 各 种 SOAP 参数 。 如 果 SOAP 请 求 通过 中 间 人 传递 给 目标 
Web Service, 那 么 XML 签名 可 以 确保 端 到 端的 消息 完整 性 和 不 可 否认 性 。XML 数字 签名 
可 以 应 用 于 任意 的 数字 对 象 。 在 签名 过 程 中 ,首先 计算 数字 对 象 的 消息 摘要 ,然后 将 消息 的 
散 列 值 连同 一 些 其 他 信息 存放 在 一 个 元 素 中 ,最 后 将 该 元 素 使 用 私 钥 进 行 签名 。 

XML 签名 的 数据 格式 如 下 。 


Signature> 
=Signedlnfo> 
一 CanonicalizationMethod/ 二 
SignatureMethod> 
(一 Reference(URI = )?> 
< 一 Transforms 二 ? 
DigestMethod> 
<DigestValue> 
=/Reference>)+ 
=/Signedlnfo> 
=SignatureValue> 
Keylnfo>? 
object> * 
=/Signature> 


这 个 结构 中 ,Signature 是 签名 的 一 个 标志 , 它 包 含 三 个 子 元 素 ,分 别 是 SignedInfo、 
SignatureValue 和 Keylnfo。 

一 个 完整 的 SignatureInfo 结构 描述 了 产生 XML 签名 需要 的 信息 。SignatureInfo 又 包括 
CanonicalizationMethod 和 SignatureMethod 两 个 子 元 素 。 其 中 子 元 素 CanonicalizationMethod 
表明 在 进行 摘要 之 前 用 于 对 Signedlnfo 元 素 进行 规范 化 的 算法 。 规 范 化 用 于 将 不 同 的 原始 
数据 翻译 为 同一 种 形式 (范式 )。 规 范 化 算法 非常 重要 ,如 果 不 使 用 规范 化 算法 ,直接 使 用 摘 
要 算法 ,那么 两 个 逻辑 上 一 致 的 XML 文档 可 能 会 由 于 诸如 空格 、 回 车 等 格式 上 的 差异 而 产 
生 不 同 的 摘要 值 ,从 而 破坏 了 签名 。 

子 元 素 SignatureMethod 表明 产生 加 密 签 名 的 方法 , 即 用 于 将 规范 化 后 的 SignedInfo 
进行 签名 成 为 SignatureValue 的 算法 。 它 由 报 文摘 要 算法 、 密 钥 相 关 的 算法 和 其 他 算法 组 
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成 。 计 算 签 名 的 算法 名 称 同 样 也 被 签名 ,这 样 如 果 签 名 算法 被 算 改 ,也 将 导致 验证 的 失败 ， 
从 而 防止 攻击 者 将 算法 替换 成 更 弱 的 算法 来 进行 攻击 。 为 了 提高 可 交互 性 ,W3C 工作 组 指 
定 了 一 系列 必须 实现 的 签名 算法 ,而 使 用 何 种 算法 可 由 签名 者 来 决定 。 此 外 ， 
SignatureMethod 还 允许 用 户 自 定义 算法 。 

SignatureMethod 元 素 中 的 Reference 元 素 指明 需要 计算 消息 摘要 的 信息 , 它 包 含 摘要 
算法 DigestMethod ,摘要 值 DigestValue, 并 且 使 用 URI 指明 被 签名 的 数据 。 一 个 空 的 URI 
表示 包含 这 个 Signature 元 素 的 整个 XML 文档 将 被 签名 。 由 于 XML 签名 允许 签名 多 个 文 
档 和 签名 一 个 文档 的 多 个 部 分 ,Reference 子 元 素 可 以 出 现 一 次 或 多 次 。 

Transforms 元 素 是 可 选项 , 它 标识 可 选 的 一 组 处 理 过 程 , 这 些 处 理 操作 可 以 是 规范 化 
(canonicalization) , 编 /解码 (包括 压缩 和 解压 缩 )、XSLT 和 XPath。 其 中 ,XPath 操作 允许 签 
名 者 忽略 原始 XML 文档 中 的 一 部 分 ,因此 这 些 忽 略 的 部 分 可 以 进行 修改 而 不 影响 签名 的 有 
效 性 。 如 果 一 个 XML 文档 包含 对 自身 的 签名 ,这 个 方法 就 相当 有 用 。 如 果 Transforms 元 素 
没有 出 现 , 就 直接 对 数据 对 象 的 内 容 进 行 消息 摘要 计算 。 

SignatureValue 元 素 包 含 签名 值 。 而 KeyInfo 是 一 个 可 选项 ,用 于 表示 密 钥 的 信息 。 
KeyInfo 元 素 指 明 用 于 验证 签名 的 公 钥 ,可 以 通过 证 书 、 公 钥 名 或 密 钥 交换 算法 指定 。 因 为 
签名 者 的 公 钥 信息 可 以 通过 上 下 文 获 得 ,所 以 KeyInfo 是 可 选 的 。 由 于 KeyInfo 在 
SignedInfo 外 部 , 当 签名 者 需要 将 公 钥 信息 和 签名 绑 定时 ,可 以 简单 地 将 KeyJInfo 元 素 作 为 
签名 的 一 部 分 。 

从 上 面 对 XML 签名 结构 的 分 析 中 可 以 归纳 出 创建 XML 签名 的 步骤。 

@ 列 出 需要 签名 资源 的 URI。 

@ 产生 资源 的 消息 摘要 。 

@ 将 每 个 摘要 和 所 使 用 的 摘要 算法 、 转 换 信息 使 用 二 Reference 二 元 素 进 行 描述 ,并 将 
二 Reference 记 元 素 中 的 内 容 与 要 使 用 的 签名 算法 和 规范 化 算法 信息 相 结合 ,构造 二 SignedInfo 二 
元 素 。 

@ 规范 二 SignedInfo> 数 据 , 计 算数 据 的 消息 摘要 。 

@@ 产生 消息 的 签名 ,将 签名 值 插入 到 二 SignatureValue 过 元素 中 。 

@ 如 果 需 要 表示 签名 密 钥 的 信息 ,可 以 创建 一 KeyInfo 二 元 素 。 

@ 上 述 创建 的 所 有 元 素 都 添加 到 一 Signature 志 元素 中 。 

相应 地 ,根据 XML 签名 的 创建 过 程 可 以 得 出 签名 验证 的 方法 。SignedInfo 的 核心 验 
证 包括 两 个 步 又: 验证 对 SignedInfo 的 签名 和 验证 SignedInfo 中 每 个 Reference 的 摘要 。 
在 进行 签名 验证 时 ,首先 进行 引用 验证 , 即 接收 端 首 先 验证 在 每 个 二 SignedInfo 之 元 素 中 的 
二 Reference 祖 元素 所 包含 的 摘要 。 如 果 生 成 的 摘要 值 和 二 DigestValue 二 元 素 中 包含 的 规 
定 摘要 值 不 匹配 , 则 验证 失败 。 如 果 验 证 成 功 , 则 对 二 SignedInfo 二 元 素 中 的 加 密 签 名 进行 
签名 验证 。 
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10.2.2 XML 加 密 


XML 加 密 (XML Encryption) 也 是 W3C 提出 的 一 个 规范 。 它 提供 加 密 XML 文档 、 
XML 元 素 和 XML 元 素 内 容 等 多 种 数据 的 方法 ,同时 也 提供 利用 XML 格式 表示 加 密 数据 
的 方法 。XML 加 密 容易 部 署 ,而 且 能 够 选择 性 地 加 密 XML 数据 。 加 密 一 个 完整 的 SOAP 
消息 会 降低 应 用 程序 的 性 能 ,此 外 ,如 果 SOAP 消息 必须 包含 足够 的 有 用 信息 (例如 路 由 信 
息 ) ,并 且 这 些 信息 需要 中 间 节 点 解析 ,那么 也 不 能 加 密 完整 的 SOAP 消息 。 因 此 ,选择 性 
地 加 密 SOAP 消息 中 的 数据 是 常用 的 方法 。 

XML 加 密 包括 两 个 主要 的 元 素 : EncryptedData 和 EncryptedKey。 

EncryptedKey 表示 加 密 密 钥 的 相关 信息 。 该 元 素 用 于 交换 对 称 会 话 密 钥 , 即 EncryptedKey 
中 包含 的 是 加 密 后 的 对 称 密 钥 。EncryptedKey 元 素 中 包含 一 个 子 元 素 ReferenceList, 虽 
然 它 不 是 必需 的 ,但 是 非常 重要 , 它 能 够 让 接收 方 了 解 使 用 这 个 密 钥 解密 的 数据 部 分 的 
信息 。 

EncryptedData 元 素 包含 加 密 内 容 及 其 相关 信息 (如 加 密 类 型 ,加密 密 钥 和 加 密 后 的 
密 文 等 )。XML 加 密 的 结果 也 存放 在 EncryptedData 元 素 中 。 该 元 素 的 Type 属性 用 来 表 
示 加 密 的 类 型 (如 XML 元 素 、XML 元 素 内 容 等 )。 例 如 ,EncryptedDataType 王 "http:// 
www. w3. org/2008/04/xmlene# Element" 表 明 加 密 的 是 XML 元 素 ,如果 将 Type 的 末尾 
改 为 # Content, 则 表示 加 密 的 是 元 素 内 容 。EncryptedData 元 素 中 有 一 个 必需 的 子 元 素 
CipherData, 它 表示 加 密 后 的 数据 内 容 。 

EycryptedData 元 素 可 以 通过 如 下 结构 表示 。 


= EncrptedData Id? Type? > 
一 EncryptionMethod/ 二? 
=ds:Keylnfo> 

EncryptedKey>? 

=AgreementMethod>? 

=ds:KeyName>?7 
=ds:Retrieval Method>? 
<ds:*>? 
=/ds:Keylnfo>? 
=CipherData> 
=CipherValue>? 

所 CipherReference URI?>? 
=/CipherData> 
=EncryptionProperties>? 

=/EncryptedData> 
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EncryptedData: 是 XML 加 密 中 的 核心 元 素 。 它 不 仅 含 有 加 密 的 数据 ,而 且 还 可 
以 用 来 替代 被 加 密 的 元 素 , 包 括 XML 文档 的 根 元 素 。EncryptedData 元 素 在 子 元 
素 中 包含 或 者 通过 URI 指 定 了 加 密 数据 。 当 加 密 一 个 XML 元 素 或 元 素 内 容 时 ， 
EncryptedData 元 素 将 在 完成 加 密 后 的 XML 文档 中 取代 相应 的 元 素 或 元 素 内 容 。 
当 加 密 整个 XML 文档 时 ,EncryptedData 将 成 为 新 的 XML 文档 的 根 元 素 。 
EncryptionMethod: 为 可 选 的 元 素 , 它 描述 了 应 用 于 被 加 密 数 据 的 加 密 算法 。 只 
有 在 接收 方 知道 加 密 算 法 的 情况 下 ,这 个 元 素 才 能 默认 ,和 否则 将 导致 解密 失败 。 
EncryptionMethod 中 允许 的 子 元 素 由 它 的 Algorithm 属性 URI 确定 。 

ds: KeyInfo: 描述 解密 CipherData 的 密 钥 信息 ,如 果 密 钥 能 在 上 下 文中 规定 ,就 没 
有 必要 在 传送 的 XML 文档 中 显 式 地 表示 。 

EncryptedKey: 该 元 素 用 于 向 接收 者 传送 加 密 密 钥 。 它 可 以 作为 一 个 单独 的 
XML 文档 置 于 应 用 文档 中 ,或 在 EncryptedData 中 作为 ds:Keylnfo 的 子 元 素 出 现 
(如 上 例 中 所 示 )。 密 钥 被 加 密 传 送 至 接收 者 , 当 EncryptedKey 被 解密 后 ,获得 的 
密 钥 可 以 直接 应 用 到 EncryptionMethed 指定 的 算法 上 。 

ds:RetrievalMethod: 是 ds:KeyInfo 的 子 元 素 , 可 能 出 现 多 次 。 如 果 在 ds:KeyInfo 
中 出 现 了 多 个 ds:RetrievalMethod 实例 , 它 指向 的 EncryptedKey 中 必须 包含 同样 
的 密 钥 ,这 些 密 钥 可 能 使 用 不 同 的 方式 加 密 ,或 者 发 送 给 不 同 的 接收 者 。 
CipherData: 是 一 个 必须 存在 的 元 素 。 它 在 CipherValue 元 素 中 包含 Base64 编码 
的 加 密 字 节 序 列 ,或 者 在 CipherReference 中 包含 一 个 指向 含有 加 密 字 节 序列 的 外 
部 地 址 的 引用 。 

CipherReference: 该 元 素 确定 一 个 过 程 , 用 来 获得 加 密 的 字 节 序列 。 在 获取 加 密 
字 节 序列 时 ,首先 获取 CipherReference 中 URI 属性 确定 的 外 部 资源 , 如果 
CipherReference 中 还 包含 可 选 的 Transforms 序列 , 则 应 用 这 些 变 换 来 获得 加 密 数 
据 。 例 如 ,如 果 加 密 数 据 存 在 于 某 一 个 XML 文档 中 ,就 可 以 采用 Transforms 的 
XPath 和 Base64 解码 来 获得 该 数据 。 

EncryptionProperties: 该 元 素 中 存放 产生 加 密 数据 过 程 中 的 附加 项 信息 ,例如 时 
间 戳 和 序列 号 等 


10.2.3 Soap 消息 安全 保护 


为 了 提高 Web 服务 的 安全 能 力 , 增 强 Web Service 中 SOAP 消息 的 安全 性 ,IBM、 


Microsoft 和 Verisign 等 公司 与 一 些 组 织 机 构 合 作 制 定 了 统一 的 Web 服务 安全 规范 ,推出 
了 WS-Security( 也 称 Web 服务 安全 语言 ) 等 规范 (版 本 为 WS-Security 1. 1)。 


结构 化 信息 标准 促进 组 织 (organization for the advancement of structured infamation 


standards, OASIS) 批 准 WS-Security 1. 1 成 为 其 标准 。WS-Security 规范 主要 解决 终端 用 
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户 如 何在 Web 服务 之 间 安 全 传递 SOAP 消息 的 问题 。 通 过 WS-Security, 用户 可 以 把 消 
息 完整 性 ,机密 性 和 身份 验证 租 和 人 Web 服务 应 用 之 间 的 消息 交换 过 程 中 。 

WS-Security 详细 描述 了 如 何 将 安全 性 令 牌 (用 于 消息 鉴别 ) 附 加 到 SOAP 消息 上 ,以 
及 如 何 将 SOAP 消息 与 XML 签名 、 加 密 规 范 相 结合 ,起 到 保护 SOAP 消息 的 作用 。 在 
WS-Security 没有 规定 所 需要 的 安全 性 令 牌 的 具体 类 型 ,这 使 得 Web Service 系统 具有 一 
定 的 可 扩展 性 ,可 以 适应 各 种 认证 和 授权 机 制 。 

Ws-Security 标准 的 目的 是 确保 Web Service 应 用 处 理 消 息 的 完整 性 及 机 密 性 ,规定 
Web Service 协议 SOAP 的 扩展 及 消息 头 。 在 基于 WS-Security 扩展 的 Web Service 中 ， 
SOAP 传输 的 不 再 是 简单 的 XML 文本 消息 ,而 是 实现 了 WS-Security 扩展 的 XML 文件 。 
WS-Security 中 的 安全 性 元 素 二 wsse:Security 二 置 于 可 信 SOAP 消息 的 XML 文档 的 头 部 ,是 
包含 安全 操作 信息 的 项 级 元 素 , 它 描述 了 接收 方 需要 的 有 关 安 全 性 (如 加 密 和 鉴别 ) 的 信息 。 

WS-Security 本 身 并 没有 定义 新 的 安全 协议 ,而 是 利用 现存 的 安全 标准 和 技术 实现 安 
全 的 Web 服务 。 它 提供 了 一 个 可 扩展 的 框架 ,用 来 在 SOAP 消息 中 髋 入 安全 机 制 , 包 括 数 
字 签 名 、 消 息 摘要 和 数据 加 密 等 。 这 些 安全 服务 信息 是 作为 附加 的 控制 信息 以 消息 的 形式 
传递 的 ,不 依赖 于 任何 传输 协议 。 因 而 WS-Security 具有 传输 中 立 性 。 这 种 基于 消息 的 安 
全 模型 如 图 10. 3 所 示 ,通过 对 SOAP 消息 的 认证 (使 用 安全 令 牌 ) 加密 和 签名 ,消息 级 安 
全 模型 相对 于 传统 平台 的 传输 级 (点 到 点 ) 的 安全 模型 而 言 ,更 适合 于 Web Service 这 样 的 
异 构 环 境 , 并 且 能 够 有 效 地 防止 消息 在 经 过 中 间 节 点 时 遭 到 第 三 方 的 分 析 、 更 改 和 破坏 。 


服务 请 求 者 服务 提供 者 


安全 性 独立 于 传输 协议 
图 10.3 SOAP 消息 安全 模型 


WS-Security 规范 框架 通过 消息 完整 性 、 消 息 机 密 性 和 消息 认证 ,提供 SOAP 消息 传递 
的 增强 安全 性 ,这 些 机 制 可 以 用 于 提供 多 种 安全 性 模型 和 加 密 技 术 。 


10.3 WS-Security 


如 图 10.4 所 示 , WS-Security 是 一 个 安全 框架 (WS-Security framework) ,包括 WS- 
Security 核心 规范 及 XML 签名 .XML 加 密 、 用 户 名 权 标 规范 、X. 509 权 标 规范 、Kerberos 
权 标 规范 和 SAML 权 标 规范 等 。 


WS-Security application 
WS-Secure WS-Federati A 
Conversation -Federation | WS-Authorization 
Mon WS-Trust WS-Privacy 


WS-Security framework 


XML Signature XML Encryption 


Kerberos profilel| X.509 profile XrML profile 


| XCBF profile | Username profile | SAML profile 


图 10.4 ”WS-Security 框架 


在 WS-Security 安全 框架 之 上 ,可 以 运行 各 种 Web Service 安全 应 用 (WS -security 
application) ,包括 安全 会 话 (WS -secure conversation)、 身 份 联合 (WS -federation)、 授 权 
(WS-authorization) ,安全 策略 (WS -security policy) ,信任 (WS -trust) 和 私有 性 (WS - 
privacy) 等 。 

其 中 ,SAML 可 用 于 实现 单 点 登录 , 它 定义 了 交换 断言 过 程 中 所 涉及 的 XML 词汇 . 协 
议 .传输 绑 定 机 制 及 配置 文件 。 安 全 断言 包括 认证 (Cauthentication)、 属 性 (attribute) 和 权限 
决策 (authorization decisions) 等 。 

作为 服务 器 之 间 使 用 的 认证 协议 ,SAML 定义 了 交互 过 程 中 请 求 、 响 应 的 规范 。 例 如 ， 
请 求 中 主体 查询 .认证 查询 、 属 性 查询 和 授权 查询 等 。 

基于 SAML 实现 的 安全 应 用 包括 如 下 方面 。 

Q@ SUN 的 Liberty。 

@ Internet2 的 用 户 身 份 联合 认证 Shibboleth。 此 项 目 主要 应 用 在 校园 内 Web 资源 共 
享 , 以 及 校园 间 应 用 系统 的 用 户 身份 联合 认证 。 

@ XPOLA: 基于 能 力 的 可 扩展 授权 基础 设施 。 在 XPOLA 中 ,安全 能 力 (security 
capability) 由 策略 文件 和 服务 提供 者 对 安全 能 力 的 签名 组 成 。 策 略 文件 包括 一 个 服务 标识 
符 .一 个 属 主 和 与 具体 服务 或 资源 对 应 的 授权 信息 。 每 个 安全 能 力 都 是 一 个 SAML 断言 集 
合 , 对 安全 能 力 实施 最 小 权利 原则 (principle of least authority, POLA)。 

WS-Security 协议 为 Security 元 素 提 供 了 三 类 子 元 素 , 即 安全 性 令 牌 security token 
类 签名 类 和 加 密 类 。WS-Security 特别 为 多 安全 性 令 牌 、 多 信任 域 .多 签名 格式 和 多 加 密 技 
术 提供 支持 。 规 范 提供 了 几 种 主要 的 安全 机 制 : 安全 性 令 牌 传播 .消息 完整 性 和 消息 机 密 性 。 

WS-Security 还 提供 关联 安全 性 令 牌 和 消息 的 通用 安全 机 制 。WS-Security 不 需要 特 
定 类 型 的 安全 性 令 牌 , 它 在 设计 上 是 可 扩展 的 (例如 支持 多 安全 性 令 牌 格式 )。 此 外 ,WS- 
Security 还 描述 如 何 对 二 进 制 安全 性 令 牌 进行 编码 。 此 规范 特别 描述 如 何 对 X. 509 证 书 
和 Kerberos 票据 编码 ,以 及 如 何 加 入 难于 理解 的 加 密 密 钥 , 可 以 用 于 进一步 描述 消息 中 包 
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含 的 凭证 特征 的 扩展 性 机 制 。 

随 着 WS-Security 规范 的 确定 ,各 大 软件 厂商 开始 考虑 为 其 产品 提供 和 使 用 相同 Web 
服务 安全 语言 的 接口 和 编程 工具 箱 。Web 服务 的 开发 者 也 将 使 用 这 些 厂商 提供 的 工具 ,加 
强 开发 Web 服务 的 安全 性 。 


10.3.1 WS-Security 消息 模型 


WS-Security 规范 定义 了 一 个 抽象 化 安全 服务 的 单一 安全 模型 ,其 消息 模型 的 结构 如 
图 10.5 所 示 。 


策略 
安全 令 牌 服务 
pz i ey 
声明 安全 性 令 牌 策略 
Web 服 务 
安全 性 令 牌 ) 一 一 | 吉明 


图 10.5 WS-Security 安全 消息 模型 


从 图 中 可 以 看 出 WS-Security 的 工作 原理 。 首 先 ,服务 提供 者 根据 自己 的 需要 制定 相 
关 的 安全 策略 ,并 要 求 所 有 请 求 其 服务 的 服务 请 求 者 提供 相应 的 声明 和 证 书 , 其 中 声明 包含 
主体 的 相关 信息 ,如 用 户 身 份 等 。 如 果 服 务 请 求 者 无 法 提供 相应 的 声明 和 证 书 ,服务 提供 者 
可 以 拒绝 提供 服务 。 为 了 得 到 相应 的 声明 和 证 书 , 服 务 请 求 者 或 服务 提供 者 可 以 从 第 三 方 
获取 信任 令 牌 。 

第 三 方 也 是 一 个 Web Service 服务 提供 者 , 它 所 提供 的 服务 称 为 安全 令 牌 服务 。 由 于 
第 三 方 的 服务 提供 者 也 具有 自己 的 安全 策略 ,因此 不 同安 全 域 的 服务 提供 者 之 间 需 要 相互 
信任 。 为 了 取得 这 种 信任 关系 ,他 们 之 间 可 以 制定 相互 认可 的 安全 策略 。 这 样 , 即 使 服务 需 
要 跨越 多 个 不 同 的 安全 域 , WS-Security 也 能 够 保证 消息 传递 的 安全 性 。 当 服务 请 求 者 具 
备 相应 的 声明 和 证 书 之 后 ,在 请 求 服 务 时 他 们 会 将 声明 和 证 书 随同 SOAP 消息 一 起 发 送 给 
服务 提供 者 。 


10.3.2 ”WS-Security 基本 语法 要 素 


如 前 所 述 ,WS-Security 提供 身份 鉴别 .签名 和 加 密 等 基本 安全 服务 ,相应 地 ,在 WS- 
Security 中 增加 了 安全 性 令 牌 (包括 用 户 名 安全 令 牌 和 二 进 制 安全 令 牌 )、XML 签名 和 
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XML 加 密 等 基本 的 数据 元 素 和 语法 ,以 下 描述 WS-Security 中 的 基本 语法 要 素 。 

WS-Security 在 SOAP 头 部 定义 了 一 个 二 wsse: security 记 元 素 , 这 个 元 素 中 包含 与 安 
全 相关 的 信息 ,并 使 用 actor 属性 指明 消息 的 接收 方 。 一 个 SOAP 消息 中 可 以 包含 多 个 
二 wsse:Security 过 元素, 但 是 针对 不 同 接收 方 的 安全 信息 必须 出 现在 不 同 的 二 wsse: Security 二 
元 素 中 。 如 果 志 wsse:Security 二 元 素 中 不 包含 actor 属性 , 则 Web 服务 中 的 任何 一 方 都 可 
以 使 用 二 wsse:Security 过 中 的 信息 ,但 是 任何 一 方 都 不 能 将 其 删除 。 

此 外 ,一 wsse:Security 过 定义 的 块 中 还 标识 了 发 送 方 创建 答 名 和 加 密 的 信息 。WS-Security 
规范 并 没有 指定 任何 特定 的 次 序 来 处 理子 元 素 ( 指 志 wsse:Security 二 块 中 的 签名 、 加密 子 
元 素 ) 。 接 收 方 应 用 程序 可 以 根据 自己 的 需要 制定 相应 的 策略 来 决定 执行 子 元 素 的 步 又。 

安全 性 令 牌 是 一 组 安全 声明 的 集合 。WS-Security 主要 描述 了 两 种 安全 性 令 牌 , 即 用 
户 名 令 牌 (UsernameToken) 和 二 进 制 安全 令 牌 (BinarySecurityToken) 。 

(1) 用 户 名 令 牌 

用 户 名 令 牌 是 一 种 提供 用 户 名 和 可 选 密码 信息 的 方法 。 该 元 素 的 示例 SOAP 消息 
如 下 。 


< 一 S:Envelope xmlns:S= "http://www.w3.org/2001/12/soap-envelope" 


xmlns :wsse = "http://schemas. xmlsoap. org/ws/2002/04/secext"> 
=S:Header> 


=wsse:Security> 
wsse:UsernameToken> 
wsse:Username >myname( /wsse:Username> 
一 wsse:Password Type = "wsse:PasswordDigest"> 


状 尖 闫 尖 尖 闫 尖 关 美光 尖 闫 尖 关 闫 关 尖 关 尖 尖 闫 关 关 甘 关 
/wsse:Password> 
/wsse:UsernameToken> 


/wsse:Security> 


=S:Header> 
=/S:Envelope> 


消息 中 的 用 户 名 令 牌 元 素 中 包括 两 个 子 元 素 : 用 户 名 和 密码 。 其 中 密码 元 素 包 含 一 个 
名 为 Type 的 属性 ,该 属性 表明 密码 是 以 什么 形式 传输 的 。 密 码 的 传输 形式 有 两 种 , 即 明文 
或 摘要 。 

上 述 消息 中 的 密码 使 用 消息 摘要 的 形式 传输 ,这 比 使 用 明文 传输 密码 要 安全 一 些 。 
使 用 这 种 方式 ,客户 端 首先 创建 密码 的 散 列 值 发 送 给 接收 方 ,接收 方 接收 消息 后 抽取 
所 UsernameToken 盖 元 素 , 通 过 重新 计算 密码 的 散 列 来 验证 数据 。 

单独 使 用 用 户 名 /密码 来 进行 身份 验证 的 安全 性 不 高 ,消息 可 能 被 第 三 方 截获 、 重 放 。 
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因此 ,WS-Security 规范 允许 在 用 户 名 安全 令 牌 中 使 用 nonce 或 时 间 戳 ,以 增强 密码 系统 的 
安全 性 。 
(2) 二 进 制 安全 令 牌 
二 进 制 安全 令 牌 使 用 X. 509 证 书 、kerberos 票据 等 非 XML 安全 令 牌 进行 身份 认证 。 
一 个 二 进 制 安全 令 牌 使 用 BinarySecurityToken 元 素 表 示 , 通 常 使 用 ValueType 和 
EncodingType 两 种 属性 来 说 明 。 其 中 ValueType 属性 表明 使 用 的 令 牌 类 型 ,在 WS- 
Security 中 支持 三 种 属性 : 用 于 X. 509v3 数字 证 书 的 wsse:X509v3、 用 于 Kerberos 票据 的 
wsse:Kerberosv5ST 及 用 于 Kerberos 授权 票据 的 wsse: Kerberosv5TGT。EncodingType 
属性 表明 安全 性 令 牌 的 编码 方式 。 
下 面 给 出 一 段 使 用 X. 509 证 书 的 SOAP 消息 的 示例 。 
wsse:BinarySecurityToken 
ValueType = "wsse: X509v3" 
EncodingType = "wsse:Base64Binary" 
ID = "SecurityToken-XYZ" > x*xxxx 
/wsse:BinarySecurityToken> 


上 述 消 息 中 使 用 Base64 编码 的 二 进 制 安全 令 牌 xX. 509 证 书 作为 身份 认证 的 方法 。 

当 使 用 Kerberos 安全 令 牌 时 ,该 令 牌 中 包含 了 服务 请 求 者 向 Web 服务 提供 者 证 明 身 
份 及 服务 提供 者 向 服务 请 求 者 证 明 身 份 的 机 制 。Kerberos 票据 只 适用 于 访问 一 个 Web 服 
务 ,并 用 于 验证 服务 请 求 者 的 身份 。 当 在 SOAP 消息 中 提供 Kerberos 票据 时 ,需要 将 该 数 
据 加 密 复制 到 消息 中 。 

(3) 签名 

在 WS-Security 规范 中 ,一 ds:Signature 二 安全 元 素 的 含义 和 上 节 的 XML 签名 的 含义 
相同 , WS-Security 规范 允许 使 用 XML 签名 保护 SOAP 消息 。 

WS-Security 规范 中 XML 签名 通常 会 与 安全 性 令 牌 结 合 使 用 ,一 ds:KeyInfo 二 元 素 中 
添加 一 个 安全 令 牌 引用 元 素 二 wsse: SecurityTokenReference 二 ,用 于 指明 所 使 用 的 安全 性 
令 牌 。 

(4) 加 密 

WS-Security 规范 利用 XML 加 密 标 准 实现 对 消息 的 主体 块 报头 块 ,以 及 任意 子 结构 和 附 
件 组 合 进 行 加 密 , 并 且 在 使 用 加 密 元 素 时 ,WS-Security 在 XML 加 密 规 范 的 基础 上 进行 了 一 
定 的 修改 。 例 如 ,XML 加 密 规 范 在 一 xenc:EncryptedKey 二 中 使 用 一 xenc:ReferenceList 二 
元 素 , 以 表明 所 有 被 引用 的 二 xenc:EncryptedData 记 元 素 都 使 用 同一 个 密 钥 加 密 。 同 时 ,在 
WS-Security 规范 中 人 允许 同一 个 二 xenc:ReferenceList 二 引用 的 二 xenc:EncryptedData 二 元 
素 在 不 同步 骤 中 加 密 。 因 而 可 以 使 用 不 同 的 加 密 密 钥 ,每 个 加 密 密 钥 都 可 以 在 二 xenc: 
EncryptedData 之 内 的 二 ds:KeyInfo 之 中 指定 。 

和 XML 签名 类 似 , 如 果 加 密 是 基于 附加 的 安全 性 令 牌 的 .那么 就 向 二 ds:KeyInfo 二 元 
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素 添加 一 个 二 wsse:SecurityTokenReference) 子 元 素 , 以 便于 定位 。 
10.3.3 ” WS-Security 安全 令 牌 信任 机 制 


WS-Security 规范 可 以 根据 不 同 的 应 用 需求 采用 多 种 安全 性 令 牌 信任 机 制 来 实现 对 
Web 服务 的 保护 ,下 面 介绍 几 种 不 同类 型 的 安全 令 牌 信任 机 制 。 

(1) 直接 信任 机 制 

直接 信任 包括 两 种 类 型 : 一 种 是 用 户 名 /密码 的 直接 信任 。 即 客户 机 (web service 服务 
请 求 者 ) 使 用 SOAP 协议 向 服务 器 (web service 服务 提供 者 ) 发 送 请 求 ,其 中 包含 一 个 用 户 
名 /密码 安全 性 令 牌 ,服务 器 通过 认证 用 户 名 /密码 来 判断 用 户 身 份 , 验 证 通过 则 处 理 请 求 并 
返回 结果 。 

另 一 种 信任 是 使 用 安全 性 令 牌 和 签名 的 直接 信任 , 即 Web 服务 直接 信任 用 户 的 安全 性 
令 牌 ( 指 服务 提供 者 和 服务 请 求 者 双方 已 经 使 用 某 种 机 制 建立 了 Web 服务 对 安全 性 令 牌 的 
信任 )。 在 运行 过 程 中 ,服务 器 会 审核 并 评估 安全 性 令 牌 ,同时 ,为 了 验证 身份 ,服务 请 求 者 
会 对 安全 性 令 牌 进行 签名 。 服 务 请 求 者 将 签名 的 安全 性 令 牌 包括 在 请 求 消息 中 ,并 提供 与 
安全 性 令 牌 关联 的 密 钥 的 所 有 权证 明 。 服 务 提供 者 可 以 根据 安全 性 令 牌 的 签名 验证 服务 请 
求 者 的 身份 ,并 将 认证 和 请 求 处 理 结果 返回 给 服务 请 求 者 。 

使 用 直接 信任 机 制 时 ,安全 性 令 牌 直接 由 服务 请 求 者 发 送 至 服务 提供 者 ,其 模型 如 


图 10.6 所 示 。 
安全 性 令 牌 
服务 请 求 者 “| 认证 结果 ”| 服务 提供 者 


图 10.6 直接 信任 机 制 


(2) 间接 获取 令 牌 机 制 

这 种 信任 模型 需要 使 用 第 三 方 的 安全 性 令 牌 服务 。 使 用 这 种 信任 模型 的 服务 请 求 者 没 
有 直接 向 服务 提供 者 给 出 其 安全 性 令 牌 ,而 是 给 出 一 个 安全 性 令 牌 的 引用 。 因 此 安全 性 令 
牌 不 是 作为 消息 的 一 部 分 传递 的 ,而 是 提供 了 一 个 用 于 定位 和 获取 令 牌 的 引用 。 

当 请 求 者 向 服务 提供 者 发 送 请 求 时 ,把 对 安全 性 令 牌 的 引用 包括 在 请 求 消息 中 ,并 以 
XML 签名 的 形式 提供 所 有 权 的 证 明 。Web 服务 利用 所 提供 的 信息 从 安全 性 令 牌 服务 取得 
安全 性 令 牌 ,并 以 此 进行 请 求 者 身份 验证 。Web 服务 处 理 完成 后 向 服务 请 求 者 返回 处 理 结 
果 。 如 果 使 用 这 种 方案 ,SOAP 消息 的 报头 会 添加 如 下 安全 性 令 牌 。 

wsse:SecurityTokenReference wsu:Id= "." 

一 wsse:ReferenceURI = "…"/> 
/wsse:SecurityTokenReference> 
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服务 请 求 者 在 收 到 包括 以 上 信息 的 SOAP 消息 后 ,会 根据 引用 中 指定 的 证 书 URI, 到 
相应 的 安全 性 令 牌 服务 处 取得 证 书 或 票据 。 

间接 获取 令 牌 机 制 的 信任 模型 如 图 10. 7 所 示 。 

(3) 签发 令 牌 机 制 

签发 令 牌 机 制 与 间接 获取 令 牌 机 制 类 似 ,但 是 该 机 制 中 ,安全 性 令 牌 通过 请 求 方 ,而 不 
是 服务 方 获取 , 即 安全 性 令 牌 服务 向 服务 请 求 者 签发 安全 性 令 牌 。 当 服务 请 求 者 获取 了 令 
牌 后 就 可 以 多 次 使 用 这 个 令 牌 , 以 取得 相应 的 Web 服务 。 使 用 这 种 方案 ,SOAP 消息 中 的 
安全 性 令 牌 形式 可 以 是 上 述 提 到 的 任意 一 种 。 其 模型 如 图 10. 8 所 示 。 


安全 令 牌 服务 


后 的 令 牌 


(1) 服务 请 求 (1) (O) (3) 服务 请 求 
G3) (2 | (2) 令 牌 请 求 (4) 应 答 
(1) bi (3) 
服务 请 求 者 [一 “| 服务 提供 者 服务 请 求 者 服务 提供 者 
(G) (4) 
图 10.7 间接 获取 令 牌 机 制 图 10.8 签发 令 牌 机制 


10.4 网 格 及 其 安全 性 概述 


10.4.1 网 格 体系 结构 及 其 特性 


网 格 可 以 将 地 理 上 分 布 . 异 构 的 高 性 能 计算 机 、 数 据 服务 器 和 各 种 应 用 系统 等 通过 高 速 
网 络 连 接 起 来 ,实现 资源 的 全 面 连通 和 有 效 组 织 。 


网 格 体系 结构 是 划分 网 格 系统 基本 组 件 、 指 定 系统 组 
件 的 目的 与 功能 及 说 明 组 件 之 间 如 何 相互 作用 的 技术 。 当 应 用 层 
前 ,比较 重要 的 网 格 体系 结构 有 两 个 ,一 个 是 Foster 等 人 Uy 
在 早 些 时 候 提 出 的 五 层 沙 漏 结 构 ; 另 一 个 是 在 考虑 到 汇聚 层 
Web 技术 的 发 展 和 影响 后 ,结合 Web Service 提出 的 开放 资源 层 
网 格 服务 体系 结构 (open grid service architecture， 
OGSA) 。 和 

全 
1. 五 层 沙漏 结构 Oe 


如 图 10. 9 所 示 , 五 层 沙漏 模型 是 以 协议 为 中 心 的 层 一 
次 结构 ,以 沙漏 模型 的 原则 刻画 了 网 格 的 体系 结构 。 图 10.9 网 格 的 五 层 沙漏 结构 
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(1) 构造 层 (fabric) 

网 格 构 造 层 的 基本 功能 是 控制 局 部 资源 。 构 造 层 的 资源 是 非常 广泛 的 ,可 以 是 计算 资 
源 、 存 储 系统 目录、 网络 资源 和 传感器 等 。 构 造 层 网 格 组 件 实现 对 本 地 特定 资源 的 访问 ,向 
上 提供 访问 这 些 资 源 的 接口 。 因 此 在 构造 层 各 种 功能 实现 上 ,有 紧密 和 互相 依赖 的 关联 ,还 
有 对 共享 的 支持 。 构 造 层 实现 的 基本 功能 包括 资源 查询 ,控制 服务 质量 的 资源 管理 能 力 等 。 

(2) 连接 层 (connectivity) 

支持 便利 安全 的 通信 。 连 接 层 的 基本 功能 是 保证 构造 层 的 资源 实体 间 相 互通 信 的 便利 
和 安全 。 在 这 一 层 , 网 格 定义 了 核心 的 网 络 事务 处 理 所 需 要 的 通信 和 认证 协议 。 通 信 协 议 
允许 在 构造 层 资源 之 间 交 换 数据 ,建立 在 通信 服务 之 上 的 认证 协议 ,以 识别 用 户 和 资源 。 通 
信 的 必要 条 件 包 括 传输 .路 由 和 命名 等 功能 。 连 接 层 使 用 TCP/IP 协议 中 现 有 的 通信 协议 ， 
如 IP、ICMP、TCP 与 UDP, 以 及 应 用 层 的 DNS.OSPF 和 RSVP 等 。 

(3) 资源 层 (resource) 

资源 层 建立 在 连接 层 的 通信 和 认证 协议 之 上 ,用 来 共享 单一 的 资源 。 资 源 层 定义 的 协 
议 包括 安全 连接 、 初 始 化 监视 和 控制 .审计 、 计 费 等 。 资 源 层 的 协议 实现 调用 构造 层 的 功能 
以 访问 和 控制 本 地 资源 。 资 源 层 最 重要 的 两 个 协议 是 信息 协议 和 管理 协议 ,前 者 用 于 获得 
关于 资源 结构 和 状态 的 信息 ,后 者 用 来 协商 对 共享 资源 的 访问 。 

(4) 汇聚 层 (collective) 

汇聚 层 的 基本 功能 是 协调 多 个 资源 的 共享 ,实现 虚拟 组 织 (virtual organization ,VO) 。 
汇聚 层 组 件 建立 在 资源 层 和 连接 层 形成 的 协议 之 上 ,能 够 在 不 对 资源 实施 新 的 要 求 的 情况 
下 实现 广泛 和 多 样 化 的 共享 行为 ,如 目录 服务 ,协同 分 配 、 调 度 和 代理 服务 等 。 

(5) 应 用 层 (application) 

虚拟 组 织 中 的 所 有 用 户 应 用 构成 了 网 格 的 应 用 层 , 它 调用 下 层 的 服务 来 构造 网 格 应 用 。 
从 网 格 应 用 开发 者 的 角度 来 看 ,下 面 各 层 的 协议 和 服务 都 提供 了 相应 的 API 和 SDK ,使 得 
用 户 可 以 很 容易 地 构建 网 格 应 用 。 

以 资源 共享 协议 和 资源 间 的 通信 协议 为 核心 ,网 格 环境 实现 了 广 域 范 围 内 的 资源 共享 
和 协同 工作 ,将 面向 Internet 的 计算 推进 到 了 一 个 新 的 阶段 。 计 算 网 格 体系 结构 中 的 连接 
层 资源 层 和 汇聚 层 的 功能 需要 由 架构 在 资源 层 之 上 .应 用 层 之 下 的 网 格 中 间 件 实现 。 


2. 开放 网 格 服务 体系 结构 


OGSA 是 五 层 沙漏 结构 之 后 最 重要 的 网 格 体系 结构 , 它 基于 面向 服务 体系 结构 。 
OGSA 中 的 服务 是 一 种 通过 信息 交换 来 提供 给 客户 某 种 能 力 的 实体 ,服务 可 定义 为 导致 服 
务 执行 某 些 操作 的 特定 信息 交换 的 序列 。 只 按照 信息 交换 来 定义 服务 操作 ,给 如 何 实现 服 
务 及 定义 服务 带 来 了 极 大 的 灵活 性 。 在 面向 服务 的 体系 结构 中 ,内 部 实体 都 是 服务 ,因此 任 
何 对 体系 结构 来 说 可 见 的 操作 都 是 消息 交换 的 结果 。 

下 面 三 个 特征 强调 了 服务 概念 的 一 般 性 和 应 用 的 广泛 性 。 服 务 也 包括 低级 的 资源 管理 
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功能 到 高 级 的 系统 监控 功能 。 

@ 存储 服务 可 以 提供 操作 来 存储 和 检索 数据 , 预 留 空间 ,监控 存储 服务 的 状况 ,并 查询 
和 定义 服务 访问 政策 ,以 决定 哪些 实体 能 够 访问 服务 。 

@ 数据 传输 服务 提供 操作 ,以 将 数据 从 一 个 存储 服务 迁移 到 另 一 个 存储 服务 ,对 传输 
状况 进行 监控 和 管理 ,并 查询 ,定义 传输 请 求 优先 级 排序 的 策略 。 

@ 故障 处 理 服务 可 以 监控 其 他 各 种 服务 的 状况 ,例如 存储 服务 和 数据 传输 服务 ,并 提 
供 操作 使 得 其 他 实体 获得 与 错误 有 关 的 通知 ,以 及 查询 和 定义 通知 策略 。 

设计 OGSA 的 一 个 目标 是 使 得 服务 能 以 标准 方式 表示 而 不 依赖 于 上 下 文 , 这 样 可 以 简 
化 应 用 设计 并 有 利于 代码 重用 。 为 了 实现 行为 重用 ,需要 把 操作 组 合 起 来 形成 服务 接口 , 然 
后 接口 也 可 以 组 合 起 来 规定 期 望 行为 的 服务 。OGSA 的 第 二 个 设计 目标 是 实现 服务 组 合 。 

如 图 10. 10 所 示 ,OGSA 包括 开放 网 格 服务 基础 结 


构 .OGSA 服务 和 OGSA 模式 三 个 主要 组 件 。OGSA 是 特定 于 领域 的 服务 

构建 在 Web 服务 之 上 的 ,但 是 现 有 的 Web 服务 标准 不 OGSA 服 务 : 注册 、 认 证 、 监 控 ， 

能 解决 有 关 基 本 服务 语义 相关 的 问题 ,例如 服务 是 怎样 数据 访问 和 管理 等 服务 

创建 的 ,存活 多 久 , 如何 处 理 错误 及 怎样 管理 长 期 状态 开放 网 络 服务 基础 结构 

等 。 这 些 服务 语义 和 其 他 重要 的 服务 行为 必须 予以 标 

准 化 ,以 便 使 服务 虚拟 化 和 实现 服务 间 的 互 操 作 。 通 过 Web 服 务 

开放 式 网 格 服务 基础 结构 的 核心 接口 集 可 以 解决 这 些 

问题 。 符 合 OGSI 标准 的 Web 服务 就 称 为 网 格 服务 。 | 
OGSI 为 分 布 式 系统 定义 了 基本 的 构造 块 ,包括 描 驻 留 环境 协议 


述 和 发 现 服务 属性 、 创 建 服务 实例 管理 服务 生命 期 、 管 
理 服 务 组 ,以 及 发 布 和 订阅 服务 的 标准 接口 和 相关 行 图 10.10 OGSA 的 组 件 

为 。 但 是 ,OGSI 并 没有 定义 创建 大 规模 系统 时 所 需要 

的 所 有 组 成 成 分 。 

此 外 ,OGSI 还 需要 处 理 许多 其 他 问题 ,例如 ,如 何 建立 身份 识别 及 协商 认证 ; 如 何 发 现 
服务 ; 如 何 协商 和 监控 服务 级 协议 及 如 何 监控 和 管理 服务 集 等 。 在 这 些 区 域内 如 果 没 有 一 
个 标准 ,将 会 很 难以 一 个 标准 的 样式 建造 大 规模 系统 以 实现 代码 重用 和 组 件 互 操作 。 因 此 ， 
OGSA 必须 在 这 些 区 域 及 相关 区 域 定 义 附加 服务 。 可 操作 不 仅 与 一 种 公共 语言 有 关 ,而 且 
还 需要 一 组 能 够 描述 具有 共同 兴趣 对 象 的 公共 词汇 。 因 此 ,OGSA 必须 定义 标准 模式 来 描 
述 网 格 公共 实体 的 属性 。 


3. 网 格 的 特性 

由 于 网 格 建立 在 一 个 开放 的 网 络 环境 中 (如 Internet) ,这 种 环境 可 能 会 遭受 来 自 内 部 
或 外 部 的 安全 威胁 。 这 些 威胁 可 能 源 自用 户 的 误 操作 ,也 可 能 是 针对 系统 脆弱 性 的 攻击 , 它 
们 往往 会 带 来 严重 的 后 果 。 尤 其 在 网 格 技术 由 应 用 研究 转向 商业 服务 后 ,提高 网 格 环境 的 
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安全 性 问题 显得 尤为 重要 。 

网 格 的 诸多 特性 可 能 导致 网 格 环境 中 的 安全 问题 ,这 些 特性 如 下 。 

@ 参与 网 格 的 用 户 与 资源 的 数目 非常 巨大 ,而 且 经 常 动态 变化 其 参与 状态 。 

@ 应 用 程序 可 能 在 运行 时 动态 请 求 .访问 与 释放 资源 , 亦 即 应 用 程序 由 动态 覆盖 在 某 
个 资源 集合 上 的 不 定 个 数 的 进程 所 组 成 。 

@ 应 用 程序 各 个 进程 之 间 会 动态 建立 和 销毁 信道 ,并 可 能 使 用 不 同 的 通信 机 制 进行 
通信 。 

@ 每 个 网 格 节点 ,甚至 每 个 资源 或 资源 组 都 会 有 各 自 的 访问 控制 策略 ( 即 自治 性 ) ,而 
外 界 或 应 用 很 难 ,也 不 应 该 对 其 资源 访问 过 程 进 行 过 多 的 干涉 。 

@@ 为 了 记 账 和 访问 控制 ,一 个 用 户 在 不 同 的 站 点 可 能 有 不 同 的 名 字 空 间 ,证书 或 账号 。 

@ 资源 和 用 户 可 属于 多 个 组 织 。 

总 之 ,网 格 的 安全 模型 必须 建立 在 一 个 动态 、 需 要 协调 不 同 访问 控制 策略 和 不 同安 全 互 
操作 的 环境 中 。 


4. Globus 


Globus 项 目 是 目前 最 有 影响 力 的 与 网 格 计算 相关 的 项 目 之 一 ,是 来 自 世 界 各 地 关注 网 
格 技术 的 研究 人 员 和 开发 人 员 共 同 努 力 的 成 果 。 它 围绕 4 种 主要 活动 来 组 织 : 研究 、 软 件 
工具 .实验 平台 和 应 用 程序 。Globus 对 资源 管理 安全 、 信 息 服务 及 数据 管理 等 网 格 计 算 的 
关键 技术 进行 研究 ,开发 可 以 在 各 种 平台 上 运行 的 网 格 计算 工具 软件 ,帮助 规划 和 组 建 大 型 
的 网 格 实验 平台 ,开发 适合 大 型 网 格 系统 运行 的 大 型 应 用 程序 。Globus 工具 包 是 Globus 
最 重要 的 实践 成 果 , 它 是 一 个 开放 源码 的 关键 网 格 协议 的 参考 实现 。 该 工具 包 基 于 开放 结 
构 .开放 服务 资源 和 软件 库 ,并 支持 网 格 和 网 格 应 用 ,致力 于 解决 安全 、 信 息 发 现 、 资 源 管理 、 
数据 管理 和 通信 和 错误 诊断 等 问题 。 目 前 ,Globus 的 技术 已 在 NASA 网 格 (NASA IPG)、 欧 
洲 数据 网 格 (DataGrid) 和 美国 国家 技术 网 格 (NTG) 等 多 个 项 目 中 得 到 应 用 。Globus 的 网 
格 计算 协议 是 建立 在 因特网 协议 之 上 的 ,以 因特网 协议 中 的 通信 、 路 由 和 名 字 解 析 等 服务 为 
基础 。Globus 的 协议 分 为 5 层 : 构造 层 、 连 接 层 、 资 源 层 、 汇 聚 层 和 应 用 层 。 上 层 协 议 可 调 
用 下 层 协 议 的 服务 。 

Globus 工具 包 包括 网 格 安全 、 网 格 信息 获取 与 分 布 、 网 格 资源 管理 .网 格 数据 管理 及 网 
格 远程 传输 等 内 容 ,这些 都 是 网 格 开发 中 的 关键 技术 和 必须 解决 的 重要 问题 。Globus 网 格 
计算 环境 中 ,所 有 可 用 于 共享 的 主体 都 是 资源 ,如 计算 机 、 高 性 能 网 络 设备 、 仪 器、 大 容量 的 
存储 设备 .各 种 科学 数据 及 各 种 软件 等 是 资源 ,分 布 式 文件 系统 .数据 库 缓冲 池 等 也 可 以 理 
解 为 资源 。 对 于 共享 而 言 , 有 价值 的 不 是 设备 本 身 而 是 实体 的 接口 或 界面 。 在 Globus 看 
来 ,大 型 应 用 项 目 应 该 由 许多 组 织 协同 完成 .它们 形成 一 个 “虚拟 组 织 ”, 各 组 织 拥 有 的 计算 
资源 在 虚拟 组 织 里 共享 ,协同 完成 任务 。Globus 并 没有 取代 现 有 技术 ,而 是 在 现 有 技术 之 
上 建立 更 高 层次 的 资源 共享 和 协同 。 
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10.4.2 网 格 环境 中 的 安全 挑战 


网 格 环境 建立 在 原 有 的 各 类 系统 之 上 ,并 且 需 要 能 把 它们 整合 起 来 ,协同 运作 。 所 以 无 
论 服 务 在 何 处 运行 , 它 的 安全 系统 都 必须 提供 一 个 统一 的 解决 方案 ,接口 必须 是 抽象 的 ,以 
便 提 供 一 个 可 扩展 的 结构 。 具 有 不 同安 全 机 制 和 策略 的 ,在 不 同 虚拟 组 织 中 的 服务 主机 可 
以 互相 调用 。 网 格 安全 应 该 能 够 综合 利用 现 有 系统 和 技术 ,并且 具备 支持 互 操作 的 协议 ,以 
及 建立 交互 主机 环境 间 的 信任 关系 等 多 种 安全 服务 能 力 。 

这 些 要 求 之 间 的 依赖 关系 如 图 10. 11 所 示 ,任何 一 个 使 用 联合 证 书 来 达到 互 操 作 目 的 
的 解决 方案 都 会 依赖 于 定义 在 参与 域 中 的 信任 模型 ,定义 一 个 独立 的 信任 模型 是 实现 互 操 
作 的 基础 。 同 样 ,统一 形式 的 方案 需要 一 个 关系 到 互 操作 的 信任 层 。 


了 3 


可 整合 现 有 安全 机 制服 务 
的 可 扩展 体系 结构 


互 操作 性 信任 
安全 互 操作 性 ; 协议 映射 ;= 一 一 | 动态 环境 中 信任 关系 的 
身份 映射 和 联合 管理 建立 和 管理 


图 10.11 网 格 环境 中 安全 挑战 的 分 类 
下 面 分 析 网 格 环境 中 的 安全 挑战 。 


1. 技术 综合 挑战 


不 论 是 出 于 技术 和 可 编程 角度 的 原因 还 是 其 他 原因 ,期 望 使 用 一 种 安全 技术 来 解决 所 
有 网 格 计算 的 安全 问题 是 不 现实 的 ,原先 的 安全 基础 设施 不 可 能 在 短 时 间 内 被 取代 。 例 如 ， 
网 格 环境 中 每 个 域 可 能 都 有 一 个 或 多 个 注册 功能 来 维护 用 户 账号 。 这 些 注册 机 构 不 太 可 能 
把 用 户 信息 共享 给 其 他 组 织 和 域 ,同样 , 现 有 环境 中 被 认为 安全 可 靠 的 认证 机 制 也 会 继续 使 
用 。 为 了 每 个 域 继续 拥有 ,管理 和 支持 自己 原 有 的 授权 设施 ,单一 的 模型 和 机 制 无 法 为 网 格 
环境 所 接收 。 这 样 ,网 格 安全 体系 结构 必须 是 兼容 各 种 实现 ,能 够 在 不 同 的 已 有 安全 机 制 
(Kerberos、PKI 等 ) 上 被 实例 化 ,必须 有 可 扩展 性 以 适应 新 的 安全 服务 ,能 够 兼容 现存 的 安 
全 服务 。 


2. 互 操作 性 挑战 
跨越 多 个 域 和 主机 环境 的 服务 需要 互相 通信 、 协 同 工 作 .这 样 就 必须 引入 多 个 层面 上 的 
交互 性 问题 。 
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在 协议 层 ,需要 能 够 在 域 间 交 换 信 息 。 

在 策略 层 ,参与 安全 对 话 的 各 方 能 指定 任何 策略 ,并 且 不 同 的 策略 能 够 被 对 方 理解 ,这 
样 各 方 就 可 以 建立 一 个 安全 通信 的 通道 ,实现 安全 上 下 文 的 交互 认证 。 

此 外 ,对 于 用 户 身份 的 问题 ,网 格 需要 能 够 识别 来 自 本 地 域 之 外 的 其 他 域 的 用 户 , 即 建 
立 跨 域 的 信任 关系 。 不 考虑 认证 和 授权 模型 ,这 种 信任 关系 可 以 是 基于 组 .基于 身份 .基于 
属性 的 。 比 较 理 想 的 情况 是 一 个 身份 能 够 跨 所 有 参与 的 域 ,但 这 不 易 实现 。 要 使 得 能 够 在 
一 个 安全 环境 中 跨 域 调用 ,身份 或 者 证 书 的 映射 可 以 达到 这 个 目的 ,映射 可 以 通过 代理 服务 
器 上 的 会 话 或 扮演 代理 的 信任 中 介 来 实现 。 


3. 信任 关系 的 挑战 
网 格 服务 要 求 能 跨 多 个 安全 域 , 这 种 域 间 的 信任 关系 在 端 到 端的 交互 中 扮演 了 一 个 非 
常 重要 的 角色 。 客 户 端 必须 知道 服务 的 访问 要 求 , 以 及 如 何 安全 地 访问 它 。 在 网 格 环境 中 ， 
虚拟 组 织 的 动态 与 分 布 式 的 特性 是 信任 关系 建立 的 最 大 障碍 ,每 个 会 话 中 的 信任 关系 在 每 
次 请 求 的 时 候 必 须 进 行动 态 评估 。 网 格 动态 的 特性 使 得 这 种 信任 关系 难以 建立 ,参与 的 
域 可 能 有 着 不 同 的 安全 基础 设施 ,所 以 通过 多 种 形式 的 安全 机 制 来 建立 信任 关系 是 必 
要 的 。 
虚拟 组 织 必 须 支 持 动 态 的 ,用户 控制 的 部 署 和 动态 服务 的 管理 。 用 户 创建 动态 服务 需 
要 解决 如 下 安全 问题 。 
。 身份 和 授权 : 动态 服务 创建 必须 在 受 控 的 情况 下 实施 。 
。 策略 执行 : 用 户 需要 为 他 们 创建 的 服务 建立 访问 控制 策略 ,这 些 策略 必须 限定 在 服 
务 提供 者 的 本 地 策略 范围 内 。 
。 安全 层 发 现 : 用 户 可 能 希望 在 主机 环境 上 建立 安全 层 , 这 些 信息 必须 能 够 被 网 格 安 
全 基础 设施 发 现 , 如 病毒 监测 .防火墙 和 VPN 等 。 
。 策略 组 合 : 当 一 个 服务 实例 被 创建 时 , 它 的 安全 策略 能 够 动态 地 合成 。 这 些 需 要 合 
成 的 策略 包括 资源 拥有 者 的 策略 .请求 者 的 安全 策略 和 VO 中 这 个 实体 的 成 员 资 格 
赋予 它 的 策略 等 。 
。 委托 : 在 网 格 计 算 中 ,用 户 常常 委托 动态 服务 去 执行 相关 操作 ,动态 服务 需要 以 用 
户 的 身份 执行 任务 而 不 需要 用 户 的 直接 干预 ,网 格 应 该 能 够 降低 这 种 “委托 ”产生 的 
风险 。 例 如 ,一 个 计算 任务 需要 访问 不 同 资源 上 的 数据 ,而 这 些 资 源 所 在 的 虚拟 组 
织 和 任务 所 在 的 虚拟 组 织 没 有 直接 信任 关系 ,那么 用 户 需 要 委托 动态 服务 代表 自己 
去 访问 所 需 资源 ,如 果 这 种 权限 的 “委托 ”通过 委托 证 书 实现 , 则 如 何 最 小 化 用 户 委 
托 给 动态 服务 的 证 书 的 危险 ,以 及 控制 任务 完成 前 “委托 证 书 ” 过 期 等 应 该 成 为 重点 
考虑 的 安全 问题 。 
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10.4.3 ”网 格 的 安全 性 需求 及 其 安全 架构 


从 用 户 的 角度 出 发 ,网 格 安全 面临 的 最 基本 的 问题 是 如 何在 网 格 这 样 的 复杂 环境 中 提 
供给 用 户 简单 易 用 的 安全 功能 。 比 如 单 点 登录 ,一 个 用 户 只 需要 在 提交 网 格 计 算 任务 前 进 
行 一 次 认证 ,以 后 在 任务 运行 时 ,安全 机 制 就 可 以 在 任务 申请 其 他 资源 时 进行 自动 认证 ,不 
需要 用 户 再 次 参与 认证 过 程 。 此 外 ,用 户 证 书 和 私有 密 钥 必须 得 到 安全 而 灵活 的 保护 ,使 用 
户 在 任何 地 方 都 可 以 安全 地 使 用 自己 的 证 书 和 密 钥 。 最 后 ,网 格 的 安全 机 制 应 该 对 用 户 
透明 。 

资源 提供 者 则 更 关心 如 何 控制 和 保护 自己 的 资源 。 比 如 ,虽然 资源 是 提供 给 网 格 虚拟 
组 织 共 享 的 ,但 是 资源 提供 者 有 能 力 决定 资源 的 本 地 访问 控制 策略 ,从 而 改变 资源 在 虚拟 组 
织 中 的 访问 控制 。 另 外 ,本 地 安全 系统 和 虚拟 组 织 的 协调 和 整合 也 是 一 个 重要 问题 。 取 代 
或 是 修改 这 些 安全 系统 是 不 现实 的 ,只 能 通过 映射 和 代理 机 制 予以 解决 。 

对 于 开发 者 而 言 , 他 们 需要 的 是 一 个 灵活 和 功能 丰富 的 函数 库 , 以 方便 地 实现 认证 , 灵 
活 地 实现 消息 保护 、 代 理 和 通信 机 制 等 。 一 个 良好 的 API 或 SDK 是 解决 问题 的 关键 。 

从 网 格 虚拟 组 织 的 角度 出 发 ,首先 需要 一 个 统一 的 身份 认证 方式 ,以 一 致 的 方法 表示 虚 
拟 组 织 中 的 实体 ,比如 使 用 符合 X. 509v3 标准 的 证 书 。 其 次 ,可 以 与 不 同 的 本 地 管理 域 进 
行 互 操作 ,对 组 织 中 的 资源 可 以 进行 统一 的 安全 管理 ,比如 实施 统一 的 安全 策略 和 访问 控 
制 。 同 时 ,一 个 网 格 计算 任务 通常 由 来 自 不 同 域 的 进程 组 成 ,在 任务 运行 期 间 可 以 动态 地 变 
化 ,虚拟 组 织 必 须 支 持 动态 的 安全 组 织 通信 。 最 后 .网 格 还 要 支持 不 同 的 安全 实现 ,这 些 技 
术 可 以 是 基于 公 钥 体系 的 ,也 可 以 是 基于 对 称 密 钥 体系 的 ,但 是 不 应 该 依赖 于 某 一 种 安全 
机 制 。 

网 格 计算 不 仅 需 要 解决 普遍 存在 于 Internet 上 的 安全 问题 ,还 需要 解决 网 格 计算 特有 
的 安全 问题 ,这 为 网 格 计算 提出 了 一 系列 新 的 安全 需求 。 网 格 安全 技术 的 目的 就 是 授予 合 
法 用 户 访问 数据 和 执行 操作 的 权限 , 防止 用 户 非法 操作 或 因 操作 失误 造成 数据 泄密 ; 防止 
数据 被 非法 访问 和 修改 或 合法 用 户 伪造 数据 进行 欺骗 行动 ,并 且 可 以 对 用 户 进行 审计 和 记 
费 等 。 

具体 来 说 ,网 格 安全 需求 至 少 应 包括 如 下 部 分 。 

。 认证 需求 : 一 站 式 认证 .代理 .协同 认证 ,资源 认证 .基于 用 户 的 信任 关系 。 

。 通信 保护 需求 : 灵活 的 信息 保护 策略 、 支 持 各 种 可 靠 的 通信 协议 、 支 持 独 立 数据 单 

元 的 安全 通信 。 

。 授权 需求 : 资源 所 有 者 授权 、 限 制 代理 。 

。 灵活 的 安全 策略 : 互 操作 性 、 名 称 映射 .用户 可 选 的 安全 策略 .证书 安 全 策略 等 。 

网 格 系统 及 其 应 用 需要 提供 标准 的 安全 服务 ,包括 认证 ,访问 控制 .数据 完整 性 、 机 密 性 
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10.4.3 ”网 格 的 安全 性 需求 及 其 安全 架构 


从 用 户 的 角度 出 发 ,网 格 安全 面临 的 最 基本 的 问题 是 如 何在 网 格 这 样 的 复杂 环境 中 提 
供给 用 户 简单 易 用 的 安全 功能 。 比 如 单 点 登录 ,一 个 用 户 只 需要 在 提交 网 格 计 算 任务 前 进 
行 一 次 认证 ,以 后 在 任务 运行 时 ,安全 机 制 就 可 以 在 任务 申请 其 他 资源 时 进行 自动 认证 ,不 
需要 用 户 再 次 参与 认证 过 程 。 此 外 ,用 户 证 书 和 私有 密 钥 必须 得 到 安全 而 灵活 的 保护 ,使 用 
户 在 任何 地 方 都 可 以 安全 地 使 用 自己 的 证 书 和 密 钥 。 最 后 ,网 格 的 安全 机 制 应 该 对 用 户 
透明 。 

资源 提供 者 则 更 关心 如 何 控制 和 保护 自己 的 资源 。 比 如 ,虽然 资源 是 提供 给 网 格 虚拟 
组 织 共 享 的 ,但 是 资源 提供 者 有 能 力 决定 资源 的 本 地 访问 控制 策略 ,从 而 改变 资源 在 虚拟 组 
织 中 的 访问 控制 。 另 外 ,本 地 安全 系统 和 虚拟 组 织 的 协调 和 整合 也 是 一 个 重要 问题 。 取 代 
或 是 修改 这 些 安全 系统 是 不 现实 的 ,只 能 通过 映射 和 代理 机 制 予以 解决 。 

对 于 开发 者 而 言 , 他 们 需要 的 是 一 个 灵活 和 功能 丰富 的 函数 库 , 以 方便 地 实现 认证 , 灵 
活 地 实现 消息 保护 、 代 理 和 通信 机 制 等 。 一 个 良好 的 API 或 SDK 是 解决 问题 的 关键 。 

从 网 格 虚拟 组 织 的 角度 出 发 ,首先 需要 一 个 统一 的 身份 认证 方式 ,以 一 致 的 方法 表示 虚 
拟 组 织 中 的 实体 ,比如 使 用 符合 X. 509v3 标准 的 证 书 。 其 次 ,可 以 与 不 同 的 本 地 管理 域 进 
行 互 操作 ,对 组 织 中 的 资源 可 以 进行 统一 的 安全 管理 ,比如 实施 统一 的 安全 策略 和 访问 控 
制 。 同 时 ,一 个 网 格 计算 任务 通常 由 来 自 不 同 域 的 进程 组 成 ,在 任务 运行 期 间 可 以 动态 地 变 
化 ,虚拟 组 织 必 须 支 持 动态 的 安全 组 织 通信 。 最 后 .网 格 还 要 支持 不 同 的 安全 实现 ,这 些 技 
术 可 以 是 基于 公 钥 体系 的 ,也 可 以 是 基于 对 称 密 钥 体系 的 ,但 是 不 应 该 依赖 于 某 一 种 安全 
机 制 。 

网 格 计算 不 仅 需 要 解决 普遍 存在 于 Internet 上 的 安全 问题 ,还 需要 解决 网 格 计算 特有 
的 安全 问题 ,这 为 网 格 计算 提出 了 一 系列 新 的 安全 需求 。 网 格 安全 技术 的 目的 就 是 授予 合 
法 用 户 访问 数据 和 执行 操作 的 权限 , 防止 用 户 非法 操作 或 因 操作 失误 造成 数据 泄密 ; 防止 
数据 被 非法 访问 和 修改 或 合法 用 户 伪造 数据 进行 欺骗 行动 ,并 且 可 以 对 用 户 进行 审计 和 记 
费 等 。 

具体 来 说 ,网 格 安全 需求 至 少 应 包括 如 下 部 分 。 

。 认证 需求 : 一 站 式 认证 .代理 .协同 认证 ,资源 认证 .基于 用 户 的 信任 关系 。 

。 通信 保护 需求 : 灵活 的 信息 保护 策略 、 支 持 各 种 可 靠 的 通信 协议 、 支 持 独 立 数据 单 

元 的 安全 通信 。 

。 授权 需求 : 资源 所 有 者 授权 、 限 制 代理 。 

。 灵活 的 安全 策略 : 互 操作 性 、 名 称 映射 .用户 可 选 的 安全 策略 .证书 安 全 策略 等 。 

网 格 系统 及 其 应 用 需要 提供 标准 的 安全 服务 ,包括 认证 ,访问 控制 .数据 完整 性 、 机 密 性 
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根据 网 格 的 安全 需求 ,图 10. 12 给 出 了 一 个 网 格 安全 的 总 体 构架 。 


入 侵 监测 安全 | | 证 书 和 | | 权限 | | 审计 和 
会 话 | | 身份 传输 | | 控制 | | 身份 验证 


病毒 管理 
妥 务 / 调 |[ 喘 时 [授权 [隐私 
策略 管理 | | | 点 策略 | 规则 | 策略 上 策略 国 
引 安 
有 户 管理 策略 表示 和 转换 过 
密 钥 管理 


安全 绑 定 (传输 , 协议 , 消息 安全 ) 


图 10.12 网 格 安全 总 体 结构 


10.5 网 格 安全 基础 设施 


10.5.1 GSI 概述 


GSI (grid security infrastructure) 是 Globus 项 目 中 针对 OGSA 的 网 格 安全 基础 设施 
的 实现 , 它 使 用 了 最 常见 的 安全 标准 和 设施 。GSI 基于 公 钥 加 密 体系 (public key 
infrastructure, PKI ) ,采用 X. 509 认证 和 安全 套 接 字 层 通信 协议 ,并 对 它们 进行 了 一 定 的 
扩展 ,使 得 GSI 可 以 支持 单 点 登录 。GSI 的 实现 符合 通用 安全 服务 编程 接口 (generic 
security service API, GSS-API),GSS-API 是 由 IETF 提出 的 用 于 安全 系统 的 标准 API。 
GSI 能 够 提供 的 主要 安全 功能 有 安全 认证 、 通 信 加 密 、 私 钥 保 护 、 委 托 授权 和 单 点 登录 等 。 


1. 安全 认证 

安全 认证 是 对 服务 请 求 者 和 服务 提供 者 双方 的 身份 进行 验证 的 过 程 ,GSI 中 可 以 通过 
SSL 实现 。 一 个 成 功 的 安全 认证 ,将 校 验 一 个 请 求 连接 的 合法 性 ,为 其 后 双方 的 通信 过 程 
提供 一 个 会 话 密 钥 。GSI 的 安全 认证 基于 用 户 的 私 钥 创 建 一 个 代理 ,从 而 为 用 户 提供 认证 
方法 。 用 户 如 果 没 有 创建 这 个 代理 ,就 不 能 提交 作业 ,也 不 能 传输 数据 。 


2. 通信 加 密 

GSI 利用 数字 证 书 进 行 通信 实体 的 相互 认证 ,并 通过 SSL/TLS 实现 对 数据 的 加 密 , 以 
保证 通信 的 安全 。Globus Toolkit 中 包含 OpenSSL .用 于 在 网 格 客户 机 和 服务 器 之 间 创 建 
加 密 的 通道 。 通 信 加 密 在 安全 认证 之 后 ,由 通信 双方 产生 一 个 会 话 密 钥 , 并 通过 这 个 会 话 密 
钥 加 密 通 信 过 程 中 的 消息 。 
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3. 主机 证 书 和 私 钥 的 存储 与 保护 


GSI 将 Globus 用 户 的 私 钥 保存 在 本 地 计算 机 的 一 个 文件 中 。 为 了 防止 本 地 计算 机 的 
其 他 用 户 窃取 私 钥 ,该 文件 必须 经 过 用 户 密码 进行 加 密 保 护 。GSI 还 可 以 采用 外 部 介质 ,如 
加 密 的 智能 卡 来 保存 密 钥 ,以 更 有 效 地 保护 用 户 私 钥 。 


4. 委托 授权 


当 用 户 与 服务 器 认证 成 功 后 ,将 被 委托 授权 。 通 过 将 用 户 DN 号 (唯一 的 证 书 主体 名 
称 ) 映 射 到 本 地 用 户 账号 ,使 网 格 用户 的 作业 由 这 个 本 地 用 户 根 据 自己 的 权限 处 理 。 


5. 单 点 登录 

单 点 登录 的 目标 是 让 用 户 只 需 输 入 一 次 密码 ,就 可 以 完成 多 次 认证 ,并 且 允 许 进程 代表 
用 户 来 进行 资源 的 申请 ,这 样 用 户 的 操作 可 以 得 到 很 大 的 简化 。 从 用 户 的 角度 看 , 单 点 登录 
机 制 是 用 户 在 特定 的 逻辑 安全 域 中 ,只 需 进行 一 次 登录 即 可 访问 在 此 风 辑 安全 区 域 中 不 同 
应 用 系统 中 的 被 授权 的 资源 , 当 超 越 了 安全 区 域 边缘 时 才 需 要 再 次 登录 。 

GSI 以 X. 509 证 书 实现 认证 ,并 通过 对 X. 509 证 书 进行 扩展 ,产生 代理 证 书 来 实现 单 


10. 5.2 GSI 关键 技术 


1. 单 点 登录 

GSI 中 , 单 点 登录 是 通过 扩展 SSL 来 实现 的 ,这 些 扩展 的 功能 包括 代理 证 书 (proxy 
credentials) 和 证 书 委托 (credential delegation) 。 

代理 证 书 由 用 户 来 签署 ,而 不 是 由 认证 中 心 来 签署 。 代 理 证 书 主 要 包含 用 户 的 身份 标 
识 、 可 以 替换 的 私 钥 和 证 书 的 有 效 期 等 。 为 了 简化 频繁 的 访问 操作 ,代理 证 书 的 存储 通常 不 
需要 加 密 。 代 理 证 书 即使 被 窃取 ,用 户 的 私 钥 也 不 会 泄露 ,而且 证 书 的 有 效 期 限 可 以 限制 证 
书 在 被 窃取 后 所 造成 的 影响 。 用 户 输入 一 次 密码 ,使 用 自己 的 数字 证 书 产生 代理 证 书后 ,在 
代理 证 书 的 有 效 期 内 ,用 户 使 用 代理 证 书 进 行 认证 ,就 可 在 特定 的 逻辑 安全 区 域 中 多 次 访问 
不 同 的 数据 资源 ,而 不 需要 多 次 进行 身份 鉴别 。 

证 书 委托 (certificate delegation) 是 指 用 户 创建 并 委托 代理 证 书 给 运行 在 远 端 资源 上 的 
进程 授权 ,允许 远程 进程 代表 用 户 进行 资源 访问 。 证 书 委托 提高 了 资源 请 求 的 效率 ,适合 用 
于 复杂 的 网 格 计算 任务 。 

为 了 实现 这 两 项 功能 ,可 以 为 用 户 创建 一 个 用 户 代理 ,并 且 用 户 代理 又 可 以 在 新 的 节点 
上 创建 新 的 代理 ,如 此 就 可 以 在 不 同 的 节点 之 间 形 成 一 个 安全 信任 链 , 如 图 10. 13 所 示 。 

使 用 用 户 代理 进行 相互 认证 的 扩展 过 程 与 标准 的 SSL 认证 过 程 的 主要 区 别 在 于 ,被 请 
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CA 中 心 | 用 户 | 目 户 代理 1| = | 用 户 代理 2 


CA 签署 的 证 书 | | 用 户 签署 的 证 书 代理 1 签署 的 证 书 


图 10.13 安全 信任 链 


求 方 将 会 同时 收 到 用 户 的 数字 证 书 ( 包 含 用 户 的 公 钥 ) 和 用 户 的 代理 数字 证 书 。 用 户 数字 证 
书 的 公 钥 负 责 验 证 用 户 代理 证 书 上 的 数字 签名 的 合法 性 ,这 样 实际 上 形成 了 一 个 认证 中 
心 一 用 户 一 代理 的 信任 链 。 

用 户 代理 使 得 用 户 可 以 做 到 只 需 输入 一 次 密码 就 可 以 进行 多 次 认证 ,从 而 实现 单 点 登 
录 。 单 点 登录 的 认证 过 程 如 图 10. 14 所 示 , 从 图 中 可 以 看 出 GSI 在 网 格 环境 中 的 作用 。 图 
中 各 部 分 的 执行 步骤 说 明 如 下 。 


3. 创 建 用 户 代理 
用 户 用 户 代理 
代理 安全 证 书 
| :aaa 失 
CA 认证 中 心 
WiEb 45 进行 相 巨 鉴别 ， 创 建 
进程 请 求 
节点 A 
(Kerberos) 6. 授 权 ， 本 地 标 (NI 
识 映 射 ， 创 建 壕 
程 ， 生 成 安 全 Computer 
Computer 信任 证 书 
本 地 标识 
人 进程 
T| 三 | 和 
票据 ”| 受 限 代理 本 地 标识 
7a. 远 程 文件 
访问 请 求 受 限 代理 
节点 C 支持 GSI 的 FTP 
(Kerberos) 服务 器 
Re 7b. 授 权 ， 本 地 标识 
人 映射 文件 访问 
图 10.14 GSI 中 单 点 登录 过 程 示 例 
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g@ 在 进行 Globus 任务 提交 与 执行 之 前 ,用 户 与 服务 节点 和 服务 设施 需要 获得 安全 证 
书 。Globus GSI 中 ,可 以 使 用 命令 行 命令 grid-cert-request 或 对 应 的 安全 函数 创建 用 于 安 
全 鉴别 的 公 钥 、 私 钥 和 未 签发 的 安全 证 书 ,然后 通过 E-mail 或 其 他 安全 途径 把 它们 提交 
给 CA。 

@ CA 收 到 签发 安全 证 书 的 请 求 后 ,对 用 户 或 服务 节点 进行 审核 ,审核 通过 后 ,把 签署 
过 的 安全 证 书 返 回 给 请 求 方 。 

@ 用 户 在 提交 任务 前 ,可 通过 命令 行 命令 grid-proxy-init 或 对 应 的 安全 函数 创建 一 
临时 的 、 局 部 的 有 时 间 期 限 的 用 户 代 理 。 用 户 代 理 的 安全 证 书 由 用 户 签署 ,并 指定 证 书 的 
有 效 期 。 

@ 用 户 代 理 与 远 端 服务 节点 之 间 进 行 相互 安全 鉴别 , 即 对 双方 的 安全 证 书 和 身份 进行 
鉴别 。 

@ 通过 安全 鉴别 后 ,用 户 代理 创建 任务 进程 ,并 把 任务 提交 给 服务 节点 ,服务 节点 再 把 
任务 提交 给 任务 管理 者 进行 具体 处 理 。 

@ 如 果 任 务 在 执行 过 程 中 需要 其 他 远程 资源 ,也 必须 在 任务 进程 与 资源 代理 之 间 进 行 
相互 安全 鉴别 ,通过 安全 鉴别 后 ,任务 进程 才 可 以 使 用 所 需 资 源 。 

@ 如 果 任 务 在 执行 过 程 中 需要 访问 远 端 数据 或 文件 ,也 必须 在 任务 进程 与 远 端 文件 服 
务 资源 代理 之 间 进 行 相互 安全 鉴别 。 通 过 安全 鉴别 后 ,还 要 进行 授权 、 本 地 ID 映射 后 ,任务 
进程 才 可 以 访问 远 端 数据 或 文件 。 

当 任 务 执行 完毕 后 ,用 户 可 以 通过 grid-proxy-destroy 或 对 应 的 函数 撤销 用 户 代 理 。 


2. 在 线 信 任 证 存储 


在 线 信 任 证 存储 MyProxy 是 为 了 方便 用 户 从 Web 上 登录 网 格 而 设立 的 。 它 为 访问 网 
格 资源 提供 了 一 个 公用 的 客户 端 代理 。MyProxy 的 结构 与 DAC( 自 主 访问 控制 ) 类 似 ,都 
是 将 重要 的 信任 证 放置 在 一 台中 心服 务 器 上 ,并 对 用 户 的 登录 进行 认证 。 与 DAC 不 同 的 
是 ,DAC 直接 对 资源 的 访问 者 进行 认证 ,而 在 MyProxy 中 , 当 MyProxy 对 用 户 完 成 鉴别 
后 ,MyProxy 将 会 给 用 户 签发 一 个 代理 文档 ,然后 用 户 再 持 此 代理 文档 去 访问 远程 资源 。 
具体 流程 如 图 10. 15 所 示 。 


2. 门户 网 站 进行 认证 并 发 送 含 
有 用 户 认 证 信息 的 请 求 


门户 网 站 


MyProxy 


一 


3. MyProxy 授 予 用 户 访问 权限 
1. 用 户 发 送 认证 信息 


Web 浏 览 器 


图 10.15 MyProxy 流程 
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MyProxy 的 好 处 是 显而易见 的 。 它 屏蔽 了 用 户 的 位 置 ,从 而 增强 了 网 格 部 署 的 可 扩展 
性 。 同 时 ,MyProxy 被 设计 成 高 安全 性 服务 器 ,可 以 提供 对 用 户 关键 性 信任 证 (信任 信息 ) 


的 保护 。 


MyProxy 机 制 也 存在 一 些 不 足 , 例 如 ,采用 集中 式 结构 ,服务 器 面临 单 点 失效 的 风险 
只 能 根据 用 户 密码 签发 代理 证 书 ,不 能 根据 用 户 原 有 的 证 书签 发 新 的 证 书 ; 策略 静态 性 较 


强 、 功 能 简单 。 


3. 虚拟 组 织 与 社区 授权 服务 


如 图 10. 16 所 示 ,虚拟 组 织 是 建立 在 多 个 物理 组 织 之 上 的 一 个 抽象 的 管理 层 。 


物理 组 


织 作为 相对 底层 的 管理 者 ,负责 制定 资源 的 最 终 访 问 控制 策略 将 一 些 资源 共享 给 VO,VO 


负责 高 层 的 资源 管理 ,制定 共享 资源 在 VO 中 的 访问 控制 策略 。 


Domain B 


图 10.16 虚拟 组 织 


由 于 VO 的 资源 分 布 在 多 个 不 同 的 组 织 中 , 想 要 维持 一 个 一 致 的 策略 就 意味 着 每 个 组 


织 都 要 执行 一 致 的 访问 控制 。 由 于 每 个 站 点 都 具有 不 同 的 策略 表示 和 执行 机 制 ， 


且 这 些 


机 制 可 能 在 访问 控制 的 粒度 上 是 不 同 的 。 此 外 .VO 中 的 资源 是 动态 的 ,VO 的 策略 也 是 动 


态 的 。 因 此 ,在 VO 中 进行 一 致 的 访问 控制 不 易 实现 。 


社区 授权 服务 (community authorization service.CAS) 的 提出 是 为 了 将 资源 授权 的 前 
分 权力 转交 到 网 格 中 一 些 社 区 (community) 上。 这 些 团 体 控制 着 部 分 用 户 的 认证 和 访问 
策略 ,使 得 原本 单一 的 全 局 策略 空间 可 以 被 划分 为 若干 个 以 CAS 作为 桥梁 的 局 部 策略 


空间 。 


CAS 允许 虚拟 组 织 维护 它 自己 的 策略 ,并 且 可 以 使 用 这 些 策略 与 本 地 站 点 交互 。 站 点 
则 将 本 地 策略 (负责 VO 可 以 在 本 地 做 什么 ) 和 VO 策略 (负责 VO 成 员 在 VO 中 能 做 什么 ) 
合并 在 一 起 ,然后 在 本 地 执行 这 个 合并 的 策略 。VO 通过 管理 CAS 服务 器 来 维护 合并 后 的 
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策略 的 VO 部 分 ,这 部 分 策略 包括 如 下 方面 。 

Q@ VO 对 其 资源 的 访问 控制 策略 。 

@ CAS 服务 器 自身 的 访问 控制 策略 ,主要 负责 管理 服务 器 和 VO 成 员 , 如 哪些 用 户 可 
以 添加 成 员 到 某 个 组 。 

@ VO 的 成 员 列 表 。 

合并 策略 的 另 一 部 分 由 资源 提供 者 使 用 本 地 机 制 来 维护 。 例 如 ,一 个 站 点 可 以 通过 映 
射 的 方法 创建 一 个 本 地 账号 来 代表 一 个 VO( 一 个 站 点 可 以 属于 多 个 VO) ,然后 将 VO 作为 
一 个 整体 制定 本 地 策略 。 

如 图 10. 17 所 示 ,资源 提供 者 将 资源 分 配给 VO, 并 提供 支持 CAS 的 服务 接口 。 用 户 
访问 这 些 资 源 时 ,首先 需要 与 VO 的 CAS 服务 器 建立 连接 ,并 请 求 一 个 CAS 证 书 。CAS 
服务 器 返回 给 用 户 一 个 经 过 CAS 签名 的 证 书 , 证 书 可 以 包含 限制 用 户 权 限 的 策略 。 


CAS 服务 器 
2. 查 询 权限 
此 有 户 拥有 何 种 权限 ? CAS 策 略 数据 库 
f 
1.CAS 请 求 3.CAS 应 答 
用 户 
4. 资 源 请 求 6. 资 源 应 答 
时 
资源 服务 器 
5 .查询 权限 - 一 
请 求 是 否 有 访问 社区 的 权限 ? - -| 本 地 策略 信息 


图 10.17 CAS 中 的 资源 访问 过 程 


用 户 可 以 使 用 这 个 证 书 和 资源 进行 相互 认证 ,认证 完成 后 站 点 通过 以 下 几 个 步骤 来 执 
行 VO 和 本 地 策略 。 

J@ 检查 CAS 证书 的 有 效 性 ,如 签名 和 有 效 期 。 

@ 将 CAS 证书 映 射 为 本 地 ID 或 账号 ,然后 执行 站 点 对 该 账号 的 策略 。 

@ 执行 CAS 中 VO 对 用 户 制定 的 策略 。 

@ 选择 性 地 执行 一 些 站 点 策略 。 
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上 om 一 


. 实现 单 点 登录 的 关键 技术 是 什么 ? 

.代理 证 书 和 普通 证 书 有 什么 区 别 ? 

. SAML 和 XACML 的 区 别 和 联系 是 什么 ? 

. 网 格 安全 中 的 特殊 需求 是 什么 ?”GSI 平 台中 使 用 的 关键 技术 是 什么 ? 
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读者 意见 反馈 


亲爱 的 读者 : 


感谢 您 一 直 以 来 对 清华 版 计算 机 教材 的 支持 和 爱护 。 为 了 今后 为 您 提供 更 优秀 的 教 


材 ， 请 您 抽出 宝贵 的 时 间 来 填写 下 面 的 意见 反馈 表 ， 以 便 我 们 更 好 地 对 本 教材 做 进一步 改 
进 。 同 时 如 果 您 在 使 用 本 教材 的 过 程 中 遇 到 了 什么 问题 ， 或 者 有 什么 好 的 建议 ， 也 请 您 来 
信 告 诉 我 们 。 


地 址 : 北京 市 海淀 区 双 清 路 学 研 大 厦 A 座 602 室 计算 机 与 信息 分 社 营销 室 “ 收 
邮编 : 100084 电子 邮件 : jsjjc@tup. tsinghua. edu. cn 
电话 : 010-62770175-4608/4409 邮购 电话 : 010-62786544 


教材 名 称 : 计算 机 网 络 安全 一 一 协议 、 技 术 与 应 用 
ISBN 978-7-302-18057-9 


个 人 资料 

姓名 : 年 龄 : 所 在 院 校 /专业 : 

文化 程度 : 通信 地 址 : 

联系 电话 : 电子 信箱 : 

您 使 用 本 书 是 作为 : 口 指定 教材 口 选用 教材 口 辅导 教材 口 自学 教材 
您 对 本 书 封 面 设计 的 满意 度 : 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 印刷 质量 的 满意 度 : 

很 满意 口 满意 口 一 般 口 不 满意 ”改进 建议 

您 对 本 书 的 总 体 满意 度 : 


从 语言 质量 角度 看 ” 口 很 满意 口 满 意 口 一 般 口 不 满意 
从 科技 含量 角度 看 ” 口 很 满意 口 满 意 口 一 般 口 不 满意 
本 书 最 令 您 满意 的 是 : 
口 指导 明确 口内 容 充 实 口 讲解 详尽 口 实例 丰富 
您 认为 本 书 在 哪些 地 方 应 进行 修改 ?可 附 页 ) 


您 希望 本 书 在 哪些 方面 进行 改进 ? (可 附 页 ) 


电子 教案 支持 


敬爱 的 教师 : 


为 了 配合 本 课程 的 教学 需要 ， 本 教材 配 有 配套 的 电子 教案 (素材 )， 有 需求 的 教师 可 以 与 


我 们 联系 ， 我 们 将 向 使 用 本 教材 进行 教学 的 教师 免费 赠送 电子 教案 (素材 )， 和 希望 有 助 于 教学 
活动 的 开展 。 相 关 信息 请 拨打 电话 010-62776969 或 发 送 电子 邮件 至 jsjjc@tup. tsinghua. edu. cn 
咨询 ， 也 可 以 到 清华 大 学 出 版 社 主页 (http://www. tup. com. cn 或 http://www. tup. tsinghua. 
edu. cn) 上 查询 。 


